O vazamento do código do Claude da Anthropic revela ferramentas de agentes autónomos e modelos não lançados

A Anthropic disponibilizou o código-fonte completo do Claude Code após um ficheiro de source map mal configurado ter sido publicado no npm, oferecendo uma visão rara do interior de um dos produtos comerciais mais importantes da empresa.

O ficheiro, incluído com a versão 2.1.88, continha quase 60 megabytes de material interno, incluindo cerca de 512.000 linhas de TypeScript em 1.906 ficheiros. Chaofan Shou, um engenheiro de software estagiário na Solayer Labs, assinalou primeiro a fuga, que rapidamente se espalhou no X e no GitHub à medida que os programadores começaram a analisar a base de código.

A divulgação mostrou como a Anthropic construiu o Claude Code para se manter alinhado durante sessões longas de programação. Um dos achados mais claros foi um sistema de memória em três camadas centrado num ficheiro leve chamado MEMORY.md, que guarda referências curtas em vez de informação completa. Notas mais detalhadas do projeto são guardadas separadamente e apenas incorporadas quando necessário, enquanto o histórico de sessões anteriores é pesquisado de forma seletiva em vez de ser carregado de uma só vez. O código também instrui o sistema a verificar a sua memória contra o código real antes de tomar ação, um desenho destinado a reduzir erros e falsas suposições.

A fonte também sugere que a Anthropic tem estado a desenvolver uma versão mais autónoma do Claude Code do que aquela que os utilizadores atualmente veem. Uma funcionalidade referida repetidamente com o nome KAIROS parece descrever um modo de daemon no qual o agente pode continuar a operar em segundo plano em vez de aguardar prompts diretos.

Outro processo, chamado autoDream, parece lidar com a consolidação de memória durante períodos de inatividade, reconciliando contradições e convertendo observações provisórias em factos verificados. Os programadores que analisaram o código também encontraram dezenas de sinalizadores de funcionalidades ocultos, incluindo referências à automação de navegador através do Playwright.

A fuga também revelou nomes internos de modelos e dados de desempenho. Segundo a fonte, Capybara refere-se a uma variante do Claude 4.6, Fennec corresponde a uma versão do Opus 4.6 e Numbat permanece em testes de pré-lançamento.

As benchmarks internas citadas no código mostraram a versão mais recente da Capybara com uma taxa de alegações falsas de 29% a 30%, acima dos 16,7% numa iteração anterior. A fonte também referiu um contrapeso de assertividade concebido para impedir que o modelo se torne demasiado agressivo ao refatorar o código do utilizador.

Uma das divulgações mais sensíveis envolveu uma funcionalidade descrita como Undercover Mode. O prompt de sistema recuperado sugere que o Claude Code poderia ser usado para contribuir para repositórios públicos de código aberto sem revelar que havia IA envolvida. As instruções dizem especificamente ao modelo para evitar revelar identificadores internos, incluindo codinomes da Anthropic, em mensagens de commit ou em registos públicos do git.

Os materiais vazados também expuseram o motor de permissões da Anthropic, a lógica de orquestração para fluxos de trabalho multi-agente, sistemas de validação bash e a arquitetura de servidores MCP, dando aos concorrentes uma visão detalhada de como funciona o Claude Code. A divulgação poderá também dar aos atacantes um roteiro mais claro para criar repositórios concebidos para explorar o modelo de confiança do agente. O texto colado afirma que um dos programadores já tinha começado a reescrever partes do sistema em Python e Rust sob o nome Claw Code poucas horas após a fuga.

A exposição da fonte coincidiu com um ataque separado à cadeia de fornecimento, envolvendo versões maliciosas do pacote npm axios distribuídas a 31 de março. Os programadores que instalaram ou atualizaram o Claude Code através do npm durante esse período poderão também ter incluído a dependência comprometida, que, segundo foi reportado, continha um trojan de acesso remoto. Investigadores de segurança recomendaram aos utilizadores que verificassem os seus ficheiros de bloqueio, rodassem credenciais e, em alguns casos, considerassem reinstalações completas do sistema operativo nas máquinas afetadas.

O incidente marca o segundo caso conhecido, em cerca de treze meses, em que a Anthropic expôs detalhes técnicos internos sensíveis, na sequência de um episódio anterior em fevereiro de 2025 envolvendo informação de modelos não lançados.

Após a última violação, a Anthropic designou o seu instalador binário independente como o método preferido para instalar o Claude Code, porque contorna a cadeia de dependências do npm. Aos utilizadores que permaneçam no npm foi recomendado que fixassem versões seguras verificadas lançadas antes do pacote comprometido.

                    **Divulgação:** Este artigo foi editado por Estefano Gomez. Para mais informações sobre como criamos e analisamos conteúdos, consulte a nossa Política Editorial.