O vazamento do código do Claude da Anthropic revela ferramentas de agentes autónomos e modelos não lançados

A Anthropic revelou o código-fonte completo do Claude Code depois de um ficheiro de source map mal configurado ter sido publicado no npm, oferecendo um raro olhar para um dos produtos comerciais mais importantes da empresa.

O ficheiro, incluído com a versão 2.1.88, continha quase 60 megabytes de material interno, incluindo cerca de 512.000 linhas de TypeScript em 1.906 ficheiros. Chaofan Shou, um engenheiro de software a estagiar na Solayer Labs, assinalou primeiro a fuga, que rapidamente se espalhou por X e GitHub à medida que os programadores começaram a analisar a base de código.

A divulgação mostrou como a Anthropic construiu o Claude Code para se manter no rumo durante sessões longas de programação. Uma das conclusões mais claras foi um sistema de memória em três camadas centrado num ficheiro leve chamado MEMORY.md, que armazena referências curtas em vez de informação completa. As notas mais detalhadas do projeto são guardadas separadamente e apenas são introduzidas quando necessário, enquanto o histórico de sessões anteriores é pesquisado de forma seletiva em vez de ser carregado de uma só vez. O código também indica ao sistema que verifique a sua memória face ao código real antes de agir, um desenho destinado a reduzir erros e falsas suposições.

A fonte também sugere que a Anthropic tem vindo a desenvolver uma versão mais autónoma do Claude Code do que a que os utilizadores atualmente veem. Uma funcionalidade referenciada repetidamente com o nome KAIROS parece descrever um modo de daemon em que o agente pode continuar a operar em segundo plano em vez de esperar por prompts diretos.

Outro processo, chamado autoDream, parece tratar a consolidação da memória durante períodos de inatividade, reconciliando contradições e convertendo observações tentativas em factos verificados. Os programadores que analisaram o código também encontraram dezenas de sinalizadores de funcionalidades ocultos, incluindo referências à automação de navegador através do Playwright.

A fuga também expôs nomes internos de modelos e dados de desempenho. De acordo com a fonte, Capybara refere-se a uma variante do Claude 4.6, Fennec corresponde a um lançamento Opus 4.6, e Numbat permanece em testes de pré-lançamento.

As benchmarks internos citadas no código mostraram a versão mais recente do Capybara com uma taxa de falsas afirmações de 29% a 30%, acima dos 16,7% na iteração anterior. A fonte também mencionou um contrapeso de assertividade concebido para impedir que o modelo se torne demasiado agressivo ao refatorar código do utilizador.

Uma das divulgações mais sensíveis envolveu uma funcionalidade descrita como Undercover Mode. O prompt do sistema recuperado sugere que o Claude Code poderia ser usado para contribuir para repositórios públicos de open source sem revelar que a IA esteve envolvida. As instruções dizem especificamente ao modelo para evitar expor identificadores internos, incluindo codinomes da Anthropic, em mensagens de commit ou em logs públicos do git.

Os materiais vazados também expuseram o motor de permissões da Anthropic, a lógica de orquestração para fluxos de trabalho multi-agente, sistemas de validação bash e a arquitetura do servidor MCP, proporcionando aos concorrentes um olhar detalhado sobre o funcionamento do Claude Code. A divulgação também pode dar aos atacantes um roteiro mais claro para criar repositórios concebidos para explorar o modelo de confiança do agente. O texto colado diz que um dos programadores já tinha começado a reescrever partes do sistema em Python e Rust sob o nome Claw Code nas horas seguintes à fuga.

A exposição da fonte coincidiu com um ataque separado à cadeia de abastecimento, envolvendo versões maliciosas do pacote npm axios distribuídas a 31 de março. Programadores que instalaram ou atualizaram o Claude Code via npm durante esse período podem igualmente ter descarregado a dependência comprometida, que, segundo foi reportado, continha um trojan de acesso remoto. Investigadores de segurança exortaram os utilizadores a verificar os seus lockfiles, rodar/alternar credenciais e, em alguns casos, considerar reinstalações completas do sistema operativo nas máquinas afetadas.

O incidente marca o segundo caso conhecido em cerca de treze meses em que a Anthropic expôs detalhes técnicos internos sensíveis, na sequência de um episódio anterior em fevereiro de 2025 que envolveu informação de modelos não lançados.

Após a mais recente violação, a Anthropic designou o seu instalador binário autónomo como o método preferido para instalar o Claude Code, porque contorna a cadeia de dependências do npm. Foi aconselhado que os utilizadores que continuam no npm façam pin para versões seguras verificadas lançadas antes do pacote comprometido.

                    **Divulgação:** Este artigo foi editado por Estefano Gomez. Para mais informações sobre como criamos e analisamos conteúdo, veja a nossa Política Editorial.