O que exatamente está fazendo o Agente de IA? Análise completa do vazamento de 500.000 linhas de código do Claude Code

51,2 mil linhas de código, 1.906 ficheiros e 59,8 MB de source map. Na madrugada de 31 de março, Chaofan Shou, da Solayer Labs, descobriu que o produto topo de gama da Anthropic, o Claude Code, expunha o código-fonte completo num repositório npm público. Em poucas horas, o código foi espelhado no GitHub e o número de forks ultrapassou 41.000.

Este não foi o primeiro erro da Anthropic. Quando o Claude Code foi lançado pela primeira vez, em fevereiro de 2025, aconteceu novamente um vazamento do mesmo source map. Desta vez, a versão era a v2.1.88, a causa do vazamento era a mesma: a ferramenta de construção Bun gera source map por predefinição e o ficheiro ficou em falta no .npmignore.

A maioria das notícias faz um levantamento de ovos de Páscoa no vazamento, como um sistema de animais de estimação virtuais e um “modo infiltrado” que permite ao Claude enviar código para projetos open source anonimamente. Mas a questão verdadeiramente digna de ser destrinchada é: por que razão o mesmo modelo de Claude se comporta tão diferentemente no Web e no Claude Code? Para que serve afinal aquelas 512.000 linhas de código?

O modelo é apenas a ponta do iceberg

A resposta está na estrutura do código. De acordo com uma análise de engenharia inversa do código vazado feita pela comunidade do GitHub, das 512.000 linhas de TypeScript, apenas cerca de 8.000 linhas de código estão diretamente encarregues de chamar interfaces do modelo de IA, correspondendo a 1,6% do total.

O que está a fazer o restante 98,4%? Os dois maiores módulos são o motor de pesquisa (46.000 linhas) e o sistema de ferramentas (29.000 linhas). O motor de pesquisa trata de chamadas à API de LLM, de saídas em fluxo, orquestração de cache e gestão de conversas multi-turno. O sistema de ferramentas define cerca de 40 ferramentas embutidas e 50 comandos “slash”, formando uma arquitetura do tipo plug-in; cada ferramenta tem controlo de permissões independente.

Além disso, há 25.000 linhas de código de renderização de UI de terminal (incluindo um ficheiro chamado print.ts com 5.594 linhas, e uma única função com 3.167 linhas), 20.000 linhas de controlo de segurança e permissões (incluindo 23 verificações de segurança Bash numeradas e 18 comandos internos de Zsh bloqueados) e 18.000 linhas de um sistema de orquestração de multi-agentes.

O investigador de investigação em machine learning Sebastian Raschka, após analisar o código vazado, aponta que o Claude Code é mais forte do que a versão web do mesmo modelo, não por causa do modelo em si, mas devido ao “andaime” de software construído em volta do modelo: carregamento do contexto do repositório, agendamento de ferramentas dedicadas, estratégias de cache e colaboração com subagentes. Ele chega a sugerir que, se a mesma arquitetura de engenharia for aplicada a outros modelos como o DeepSeek ou o Kimi, também se pode obter um aumento de desempenho de programação semelhante.

Uma comparação intuitiva ajuda a compreender esta diferença. Se colocares uma pergunta no ChatGPT ou no Claude versão web, o modelo processa e devolve a resposta; quando a conversa termina, não fica nada. Mas o Claude Code faz exatamente o contrário: ao arrancar, primeiro lê os ficheiros do teu projeto, compreende a estrutura do teu repositório e guarda preferências que disseste antes, como “não mockar uma base de dados em testes”. Ele consegue executar comandos diretamente no teu terminal, editar ficheiros e executar testes; quando encontra tarefas complexas, divide-as em várias sub-tarefas e atribui-as a diferentes subagentes para processamento em paralelo. Em outras palavras: a IA na versão web é uma janela de perguntas e respostas; o Claude Code é um colaborador que vive no teu computador.

Alguém comparou esta arquitetura a um sistema operativo: 42 ferramentas embutidas equivalem a chamadas de sistema, o sistema de permissões equivale à gestão de utilizadores, o protocolo MCP equivale a drivers de dispositivos e a orquestração de subagentes equivale ao escalonamento de processos. Por defeito, cada ferramenta que sai de fábrica vem marcada como “insegura, gravável”, a menos que o programador declare proactivamente que é segura. A ferramenta de edição de ficheiros força a verificação de se já leste esse ficheiro; se não o tiveres lido, não te deixa alterá-lo. Não é um simples “plugin” com algumas ferramentas num chatbot; é um ambiente de execução com um núcleo de LLM e mecanismos de segurança completos.

Isto significa uma coisa: a barreira competitiva dos produtos de IA pode não estar no nível do modelo, mas no nível da engenharia.

Cada falha de cache aumenta o custo 10x

No código vazado existe um ficheiro chamado promptCacheBreakDetection.ts, que rastreia 14 vetores possíveis que podem fazer com que a cache de prompts fique inválida. Por que razão os engenheiros da Anthropic iriam despender tanto esforço para impedir falhas de cache?

Basta olhar para os preços oficiais da Anthropic. Por exemplo, com o Claude Opus 4.6, o preço de entrada padrão é de 5 dólares por milhão de tokens, mas se houver acerto de cache, o preço de leitura é apenas 0,5 dólares — 90% mais barato. Por outro lado, sempre que a cache “falha”, o custo de inferência fica 10 vezes maior.

Isto explica as muitas decisões de arquitetura que parecem “excessivamente desenhadas” no código vazado. Quando o Claude Code inicia, carrega a branch git atual, os registos dos commits mais recentes e o ficheiro CLAUDE.md como contexto; estes conteúdos estáticos são armazenados em cache globalmente, separados por marcadores de fronteira do conteúdo dinâmico, garantindo que em cada conversa não se volte a processar o contexto já existente. No código, existe também um mecanismo chamado sticky latches, que evita que a troca de modos destrua caches já estabelecidas. Os subagentes são concebidos para reutilizar a cache do processo pai, em vez de voltar a criar as suas próprias janelas de contexto.

Há um detalhe que vale a pena aprofundar. Quem já usou ferramentas de programação com IA sabe que quanto mais longa for a conversa, mais lenta fica a resposta da IA, porque cada turno tem de reenviar todo o histórico anterior para o modelo. A abordagem habitual é apagar mensagens antigas para libertar espaço; mas o problema é que apagar qualquer mensagem quebra a continuidade da cache, levando a que todo o histórico da conversa precise de ser reprocessado, fazendo disparar simultaneamente a latência e o custo.

No código vazado existe um mecanismo chamado cache_edits. A abordagem não é apagar de verdade as mensagens; em vez disso, a camada de API marca as mensagens antigas com um sinal de “pular”. O modelo já não consegue ver essas mensagens, mas a continuidade da cache não é quebrada. Isto significa que, numa conversa longa contínua durante algumas horas, depois de limpares centenas de mensagens antigas, a velocidade da resposta na próxima ronda fica quase igual à da primeira ronda. Para utilizadores comuns, esta é a resposta de base a “por que razão o Claude Code consegue suportar conversas infinitamente longas sem ficar mais lento”.

De acordo com dados internos de monitorização do vazamento (comentários no código de autoCompact.ts, com data assinalada de 10 de março de 2026), antes de introduzir um limite máximo de falhas de compactação automática, o Claude Code desperdiçava cerca de 250.000 chamadas de API por dia. Houve 1.279 sessões de utilizadores em que ocorreram mais de 50 falhas consecutivas de compactação; a mais grave teve 3.272 falhas consecutivas. A correção foi apenas adicionar uma linha de limite: MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3.

Portanto, para produtos de IA, o custo da inferência do modelo pode não ser a camada mais cara; falhas na gestão da cache é que podem ser.

44 interruptores, apontam todos para a mesma direção

O código vazado esconde 44 feature flags — interruptores de funcionalidades já compilados, mas que ainda não foram publicados publicamente. De acordo com análises da comunidade, estas flags se dividem em cinco categorias por domínio funcional; a mais densa é a classe “agentes autónomos” (12), que aponta para um sistema chamado KAIROS.

KAIROS é referenciado mais de 150 vezes no código-fonte; trata-se de um modo de processo daemon persistente. O Claude Code já não é apenas uma ferramenta que responde quando o chamas proactivamente; é um agente que corre sempre em segundo plano, observando continuamente, registando e agindo de forma proactiva quando chega a hora certa. A condição é não interromper o utilizador: quaisquer operações que possam bloquear o utilizador por mais de 15 segundos são executadas com atraso.

O KAIROS também tem deteção de foco do terminal embutida. No código há um campo terminalFocus, que deteta em tempo real se o utilizador está a ver a janela do terminal. Quando alternas para o browser ou outra aplicação, o agente determina que estás “não por perto” e muda para o modo autónomo, executando tarefas e enviando código diretamente, sem esperar pela tua confirmação. Quando voltas ao terminal, o agente regressa imediatamente ao modo colaborativo: primeiro informa o que acabou de fazer e depois pede a tua opinião. O nível de autonomia não é fixo; varia em tempo real consoante a tua atenção. Isto resolve uma questão embaraçosa que ferramentas de IA têm enfrentado há muito: uma IA totalmente autónoma não inspira confiança; uma IA totalmente passiva é demasiado ineficiente. A escolha do KAIROS é ajustar dinamicamente a proactividade da IA consoante a atenção do utilizador: se olhares para ela, fica sossegada; se te afastares, trata ela do trabalho.

O outro subsistema do KAIROS chama-se autoDream: após acumular 5 sessões ou com um intervalo de 24 horas, o agente arranca em segundo plano um processo de “reflexão” em quatro passos. Primeiro, varre as memórias existentes para perceber o que já sabe. Em seguida, extrai novos conhecimentos dos registos de conversas. Depois, faz a fusão do conhecimento novo e do antigo, corrigindo contradições e removendo duplicados. Por fim, simplifica o índice e elimina entradas desatualizadas. Este desenho baseia-se na teoria de consolidação da memória da ciência cognitiva. Enquanto as pessoas reorganizam memórias durante o sono, a KAIROS reorganiza o contexto do projeto quando o utilizador se ausenta. Para utilizadores comuns, isto significa que quanto mais tempo usas o Claude Code, mais preciso ele fica na tua compreensão do projeto — não apenas “lembrar do que disseste”.

A segunda categoria é a “anti-distilação e segurança” (8 flags). A mais notável é a mecânica fake_tools: quando quatro condições estão simultaneamente satisfeitas (flag ativada na compilação, entrada CLI ativada, uso de uma API de primeira parte e a flag remota do GrowthBook a true), o Claude Code injeta definições falsas de ferramentas nos pedidos de API, com o objetivo de contaminar datasets que poderiam, ao gravar fluxos de API, ser usados para treinar modelos concorrentes. Isto é uma forma de defesa totalmente nova na corrida de armamentos de IA: não é impedir-te de copiar; é fazer com que copies coisas erradas.

Além disso, o código também inclui um código de modelo chamado Capybara (dividido em três níveis: versão padrão, versão fast e versão com janela de contexto de um milhão), que a comunidade amplamente especula ser o codinome interno da série Claude 5.

Ovo de Páscoa: há um animal de estimação eletrónico escondido nas 512.000 linhas de código

Entre toda a seriedade da arquitetura de engenharia e mecanismos de segurança, os engenheiros da Anthropic também construíram silenciosamente um sistema completo de animais de estimação virtuais, com o codinome interno BUDDY.

De acordo com o código vazado e análises da comunidade, a BUDDY é um animal de estimação terminal com aspeto “plasmado”: aparece no lado do campo de entrada do utilizador em forma de balão ASCII. Tem 18 espécies (incluindo capivaras, salamandras-de-fogo, cogumelos, fantasmas, dragões e uma série de seres originais como Pebblecrab, Dustbunny e Mossfrog). Por raridade, divide-se em cinco níveis: comum (60%), raro (25%), incomum (10%), épico (4%) e lendário (1%). Cada espécie também tem uma “variante brilhante”; a mais rara, Shiny Legendary Nebulynx, tem uma probabilidade de aparecer de apenas um em dez mil.

Cada BUDDY tem cinco atributos: DEBUGGING (depuração), PATIENCE (paciência), CHAOS (caos), WISDOM (sabedoria) e SNARK (língua venenosa). Também usa chapéus: as opções incluem coroa, cartola, chapéu de hélice, halo, chapéu de feiticeiro e até um pato miniatura. O valor de hash do ID do utilizador determina qual animal irá “eclodir”; o Claude gera um nome e uma personalidade para ele.

Segundo o plano de lançamento do vazamento, a BUDDY estava originalmente prevista para iniciar um período de testes em abril de 1 a 7, e para ser lançada oficialmente em maio, começando pelos funcionários internos da Anthropic.

512.000 linhas de código, 98,4% a fazer engenharia hardcore — e no fim há alguém a gastar tempo a fazer uma pequena salamandra eletrónica que usa um chapéu de hélice. Talvez esta seja a linha de código mais humana de todo o vazamento.