Incidente de divulgação do código-fonte do Claude: o efeito borboleta causado por um arquivo .map

Escreve: Claude

I. Origem

Na madrugada de 31 de março de 2026, um tweet numa comunidade de programadores causou grande agitação.

Chaofan Shou, um estagiário de uma empresa de segurança blockchain, descobriu que um ficheiro de source map vinha incluído no pacote npm oficial da Anthropic, expondo todo o código-fonte do Claude Code ao público. De seguida, publicou essa descoberta no X, juntamente com uma ligação direta para download.

Esta publicação explodiu na comunidade de programadores como um sinal luminoso. Em poucas horas, mais de 512.000 linhas de código TypeScript foram espelhadas no GitHub e analisadas em tempo real por milhares de programadores.

Este é o segundo grande incidente de fuga de informação ocorrido na Anthropic em menos de uma semana.

Apenas cinco dias antes (26 de março), um erro de configuração no CMS da Anthropic fez com que cerca de 3.000 ficheiros internos ficassem públicos, incluindo rascunhos de posts de blog sobre o modelo “Claude Mythos”, prestes a ser lançado.

II. Como é que a fuga aconteceu?

A razão técnica deste incidente é, no mínimo, absurda — a causa raiz foi a inclusão, por engano, de um ficheiro de source map (ficheiro .map) no pacote npm.

A finalidade destes ficheiros é mapear o código de produção compactado e ofuscado de volta para o código-fonte original, para facilitar a localização de linhas com erros durante a depuração. E neste ficheiro .map existe uma ligação para um pacote zip armazenado num bucket Cloudflare R2 da própria Anthropic.

Shou e outros programadores descarregaram diretamente esse pacote zip, sem qualquer tipo de manobra de hacker. O ficheiro estava simplesmente ali, totalmente acessível.

A versão que causou o problema foi a v2.1.88 de @anthropic-ai/claude-code, que vinha acompanhada por um ficheiro de JavaScript source map com 59,8MB.

Na resposta a declarações do The Register, a Anthropic admitiu: “Também ocorreu uma fuga semelhante de código-fonte num lançamento anterior do Claude Code, em fevereiro de 2025.” Isto significa que o mesmo erro aconteceu duas vezes em 13 meses.

O mais irónico é que o próprio Claude Code tem um sistema chamado “Undercover Mode (modo disfarçado)”, concebido especificamente para impedir que códigos internos da Anthropic sejam divulgados inadvertidamente nos registos de commits do git… e depois os engenheiros empacotaram todo o código-fonte dentro de um .map.

Outro possível impulsionador do incidente pode ser a própria cadeia de ferramentas: no fim do ano, a Anthropic adquiriu o Bun, e o Claude Code é construído precisamente com base no Bun. Em 11 de março de 2026, alguém enviou um relatório de bug no sistema de acompanhamento de issues do Bun (#28001), indicando que o Bun, no modo de produção, ainda gera e emite source maps, contradizendo o que dizem os documentos oficiais. Esta issue continua aberta até hoje.

Quanto a isto, a resposta oficial da Anthropic foi breve e comedida: “Não houve envolvimento nem fuga de dados ou credenciais de utilizadores. Este é um erro humano durante o processo de empacotamento para lançamento, não uma vulnerabilidade de segurança. Estamos a avançar com medidas para evitar que este tipo de incidente volte a acontecer.”

III. O que foi divulgado?

Dimensão do código

O conteúdo desta fuga abrange cerca de 1.900 ficheiros e mais de 500.000 linhas de código. Não são pesos de modelo, mas sim a implementação de “camada de software” de todo o Claude Code — incluindo o framework de chamadas de ferramentas, a orquestração multiagente, o sistema de permissões, o sistema de memória e outras arquiteturas nucleares.

Plano de funcionalidades não lançadas

Esta é a parte com maior valor estratégico nesta fuga.

Processo autónomo de proteção KAIROS: Este código interno de funcionalidade, mencionado mais de 150 vezes, vem do grego antigo “kairos”, que significa “oportunidade certa”, e representa uma mudança fundamental do Claude Code para um “agente em execução contínua em segundo plano”. O KAIROS inclui um processo chamado autoDream, que executa “integração de memória” quando o utilizador está inativo — combinando observações fragmentadas, eliminando contradições lógicas e transformando perceções vagas em factos determinísticos. Quando o utilizador regressa, o contexto do Agent já está limpo e altamente relevante.

Códigos internos de modelos e dados de desempenho: O conteúdo divulgado confirma que Capybara é um código interno da variante do Claude 4.6, Fennec corresponde ao Opus 4.6, e o Numbat, ainda não lançado, continua em testes. Nos comentários do código, também é revelada uma taxa de 29-30% de afirmações falsas para o Capybara v8, face aos 16,7% do v4, o que representa uma regressão.

Mecanismo de anti-distilação (Anti-Distillation): Existe no código uma marca de funcionalidade chamada ANTI_DISTILLATION_CC. Quando ativada, o Claude Code injeta definições falsas de ferramentas em pedidos de API, com o objetivo de contaminar os dados de tráfego de API que os concorrentes poderão usar para treino de modelos.

Lista de funcionalidades beta de API: O ficheiro constants/betas.ts revela todas as funcionalidades beta que o Claude Code negocia com a API, incluindo a janela de contexto de 1.000.000 tokens (context-1m-2025-08-07), o modo AFK (afk-mode-2026-01-31), a gestão de orçamento de tarefas (task-budgets-2026-03-13) e outras capacidades ainda não divulgadas.

Sistema de parceiros virtuais ao estilo Pokémon embutido: O código ainda esconde um sistema completo de parceiros virtuais (Buddy), incluindo raridade das espécies, variantes brilhantes, atributos gerados de forma procedural e uma “descrição da alma” escrita por Claude aquando da primeira incubação. O tipo de parceiro é decidido por um gerador de números pseudoaleatórios determinístico baseado em hash do ID do utilizador; o mesmo utilizador recebe sempre o mesmo parceiro.

IV. Ataques concorrentes à cadeia de abastecimento

Este incidente não ocorreu isoladamente. Na mesma janela temporal em que houve fuga do código-fonte, o pacote axios na npm foi alvo de um ataque independente à cadeia de abastecimento.

Entre 00:21 e 03:29 UTC de 31 de março de 2026, caso se instalasse ou atualizasse o Claude Code via npm, poderia sem querer ser introduzida uma versão maliciosa contendo um trojan de acesso remoto (RAT) (axios 1.14.1 ou 0.30.4).

A Anthropic recomenda que os programadores afetados considerem o anfitrião como completamente comprometido, façam a rotação de todas as chaves e reinstalem o sistema operativo.

A sobreposição temporal destes dois acontecimentos aumenta ainda mais a confusão e o perigo da situação.

V. Impacto na indústria

Dano direto para a Anthropic

Para uma empresa com uma receita anualizada de 19 mil milhões de dólares e em fase de crescimento acelerado, esta fuga não é apenas uma falha de segurança — é uma perda de propriedade intelectual estratégica.

Pelo menos parte das capacidades do Claude Code não provém do próprio modelo de linguagem de base, mas sim do “framework” de software construído em torno do modelo — ele orienta como o modelo usa ferramentas e fornece importantes barreiras de segurança e instruções para regular o comportamento do modelo.

Essas barreiras e instruções estão agora perfeitamente visíveis para os concorrentes.

Aviso para todo o ecossistema de ferramentas de AI Agent

Esta fuga não vai destruir a Anthropic, mas oferece aos concorrentes um manual de engenharia gratuito — como construir um agente de programação de AI a nível de produção e quais direções de ferramentas merecem investimento prioritário.

O verdadeiro valor do conteúdo divulgado não está no código em si, mas sim no plano do produto revelado pelos indicadores de funcionalidades. KAIROS, mecanismos de anti-distilação — estes são detalhes estratégicos que os concorrentes conseguem agora antecipar e reagir imediatamente. O código pode ser reestruturado, mas uma surpresa estratégica, uma vez divulgada, não pode ser recuperada.

VI. Iluminação profunda para a codificação de Agents

Esta fuga é um espelho que reflete alguns enunciados centrais da engenharia atual de AI Agents:

1. Os limites das capacidades de um Agent são em grande parte definidos pela “camada de framework”, e não pelo próprio modelo

A exposição de 500.000 linhas de código do Claude Code revela um facto relevante para toda a indústria: o mesmo modelo base, quando acompanhado por diferentes frameworks de orquestração de ferramentas, mecanismos de gestão de memória e sistemas de permissões, produz capacidades de Agent completamente distintas. Isto significa que “quem tem o modelo mais forte” já não é o único eixo de concorrência — “quem tem uma engenharia de framework mais refinada” também é igualmente crucial.

2. Autonomia de longo alcance é o próximo campo de batalha central

A existência do processo de proteção KAIROS indica que a concorrência da próxima etapa da indústria se vai concentrar em “permitir que o Agent continue a funcionar eficazmente mesmo sem supervisão humana”. Integração de memória em segundo plano, migração de conhecimento entre sessões, raciocínio autónomo durante períodos de inatividade — assim que estas capacidades amadurecerem, irão mudar completamente o modo base de colaboração entre Agents e humanos.

3. Anti-distilação e proteção de propriedade intelectual tornar-se-ão novas matérias-base de engenharia em AI

A Anthropic implementou mecanismos de anti-distilação ao nível do código, o que antecipa que um novo campo de engenharia está a formar-se: como impedir que os próprios sistemas de AI sejam usados pelos concorrentes para recolha de dados de treino. Isto não é apenas um problema técnico; irá evoluir para um novo campo de batalha de disputas legais e comerciais.

4. Segurança da cadeia de abastecimento é o calcanhar de Aquiles das ferramentas de AI

Quando as ferramentas de programação de AI são distribuídas pelos próprios gerenciadores de pacotes de software públicos, como o npm, elas enfrentam riscos de ataques à cadeia de abastecimento, tal como qualquer outro software open source. A particularidade das ferramentas de AI é que, uma vez introduzidas backdoors, o atacante não obtém apenas permissão para execução de código — obtém uma infiltração profunda em todo o fluxo de trabalho de desenvolvimento.

5. Quanto mais complexo o sistema, mais é necessário uma guarda automática de lançamentos

“Um .npmignore mal configurado ou o campo files no package.json pode expor tudo.” Para qualquer equipa que construa produtos de AI Agent, esta lição não precisa de ser aprendida a um custo tão elevado — a inclusão de uma revisão automatizada do conteúdo publicado na pipeline de CI/CD deve tornar-se prática padrão, e não apenas um remendo depois de perder as ovelhas.

Epílogo

Hoje é 1 de abril de 2026, Dia das Mentiras. Mas isto não é uma brincadeira.

A Anthropic cometeu o mesmo erro duas vezes em treze meses. O código-fonte já foi espelhado por todo o mundo, e os pedidos de eliminação DMCA não conseguem acompanhar a velocidade das forks. O plano do produto que deveria estar bem escondido na rede interna é agora uma referência para todos.

Para a Anthropic, isto é uma lição dolorosa.

Para toda a indústria, é um momento inesperadamente transparente — que nos permite ver como, neste momento, os agentes de programação de AI mais avançados são construídos, linha a linha.