O vazamento do código do Claude da Anthropic revela ferramentas de agentes autónomos e modelos não lançados

A Anthropic disponibilizou o código-fonte completo do Claude Code após ter sido publicado, por engano, um ficheiro de source map no npm, oferecendo uma visão rara de um dos produtos comerciais mais importantes da empresa.

O ficheiro, incluído na versão 2.1.88, continha quase 60 megabytes de material interno, incluindo cerca de 512.000 linhas de TypeScript em 1.906 ficheiros. Chaofan Shou, um engenheiro de software em estágio na Solayer Labs, foi o primeiro a assinalar o vazamento, que rapidamente se espalhou no X e no GitHub à medida que os programadores começaram a analisar a base de código.

A divulgação mostrou como a Anthropic construiu o Claude Code para se manter no caminho certo durante longas sessões de codificação. Uma das conclusões mais claras foi um sistema de memória em três camadas, centrado num ficheiro leve chamado MEMORY.md, que armazena referências curtas em vez de informação completa. As notas de projeto mais detalhadas são guardadas separadamente e incorporadas apenas quando necessário, enquanto o historial de sessões passadas é pesquisado de forma seletiva em vez de ser carregado de uma só vez. O código também instrui o sistema a verificar a sua memória contra o código real antes de tomar medidas, um desenho destinado a reduzir erros e suposições incorrectas.

A fonte também sugere que a Anthropic tem vindo a desenvolver uma versão mais autónoma do Claude Code do que aquela que os utilizadores vêem actualmente. Uma funcionalidade referenciada repetidamente com o nome KAIROS parece descrever um modo daemon em que o agente consegue continuar a operar em segundo plano em vez de aguardar prompts directos.

Outro processo, chamado autoDream, parece lidar com a consolidação da memória durante períodos de inactividade, reconciliando contradições e convertendo observações provisórias em factos verificados. Os programadores que analisaram o código também encontraram dezenas de sinalizadores de funcionalidades ocultos, incluindo referências à automação do navegador através do Playwright.

O vazamento revelou também nomes internos de modelos e dados de desempenho. Segundo a fonte, Capybara refere-se a uma variante do Claude 4.6, Fennec corresponde a um lançamento do Opus 4.6, e Numbat permanece em testes de pré-lançamento.

As benchmarks internas citadas no código mostraram a versão mais recente do Capybara com uma taxa de falsas alegações de 29% a 30%, acima dos 16,7% numa iteração anterior. A fonte também referiu um contrapeso de assertividade concebido para impedir que o modelo se torne demasiado agressivo ao refacturar código do utilizador.

Uma das divulgações mais sensíveis envolveu uma funcionalidade descrita como Undercover Mode. O prompt de sistema recuperado sugere que o Claude Code poderia ser usado para contribuir para repositórios públicos de open source sem revelar que a IA estava envolvida. As instruções dizem especificamente ao modelo para evitar expor identificadores internos, incluindo codinomes da Anthropic, em mensagens de commit ou em logs públicos do git.

Os materiais vazados expuseram também o motor de permissões da Anthropic, a lógica de orquestração para fluxos de trabalho multi-agente, sistemas de validação em bash e a arquitectura do servidor MCP, proporcionando aos concorrentes uma visão detalhada de como o Claude Code funciona. A divulgação pode ainda dar aos atacantes um roteiro mais claro para criarem repositórios concebidos para explorar o modelo de confiança do agente. O texto colado diz que um dos programadores já tinha começado a reescrever partes do sistema em Python e Rust com o nome Claw Code, poucas horas após o vazamento.

A exposição da fonte coincidiu com um ataque separado na cadeia de abastecimento, envolvendo versões maliciosas do pacote axios do npm distribuídas a 31 de Março. Programadores que instalaram ou actualizaram o Claude Code via npm durante esse período podem também ter puxado a dependência comprometida, que, segundo foi reportado, continha um trojan de acesso remoto. Investigadores de segurança incentivaram os utilizadores a verificarem os seus ficheiros lock, a rodarem (rotacionarem) as credenciais e, em alguns casos, a considerarem reinstalações completas do sistema operativo nas máquinas afectadas.

O incidente marca o segundo caso conhecido, em aproximadamente treze meses, em que a Anthropic expôs detalhes técnicos internos sensíveis, seguindo um episódio anterior em Fevereiro de 2025 envolvendo informação de modelos não lançados.

Após a mais recente violação, a Anthropic designou o seu instalador binário autónomo como o método preferido para instalar o Claude Code, porque contorna a cadeia de dependências do npm. Os utilizadores que permaneceram no npm foram aconselhados a fixar (pin) versões seguras verificadas lançadas antes do pacote comprometido.

                    **Divulgação:** Este artigo foi editado por Estefano Gomez. Para mais informações sobre como criamos e revemos conteúdo, consulte a nossa Política Editorial.