A Anthropic revela o código-fonte do Claude Code em npm devido a uma configuração incorreta

A Anthropic expôs inadvertidamente o código-fonte completo do seu agente de IA Claude Code em 31 de Março de 2026, após um ficheiro de source map mal configurado ter sido publicado no registo npm como parte da versão 2.1.88 do pacote @anthropic-ai/claude-code.

O ficheiro de 59,8 MB continha aproximadamente 512.000 linhas de TypeScript em 1.906 ficheiros, revelando a arquitectura de memória em três camadas do agente, referências a um modo de daemon autónomo chamado KAIROS, nomes internos de codinomes do modelo incluindo Capybara (Claude 4.6) e Fennec (Opus 4.6), e uma funcionalidade que permite contribuições “disfarçadas” para repositórios de código aberto sem divulgar envolvimento de IA.

O VAZAMENTO DE CÓDIGO-FONTE REVELA A ARQUITECTURA DE MEMÓRIA EM TRÊS CAMADAS DO CLAUDE CODE

O código-fonte vazado detalhou como a Anthropic construiu o Claude Code para gerir longas sessões de programação através de um sistema de memória sofisticado. No centro está um ficheiro leve chamado MEMORY.md que armazena referências curtas em vez de informação completa, com notas de projecto mais detalhadas guardadas separadamente e só recuperadas quando necessário. O histórico de sessões anteriores é pesquisado de forma selectiva em vez de ser carregado de uma só vez. O sistema também verifica a sua memória em relação ao código real antes de agir, um desenho destinado a reduzir erros e pressupostos falsos.

O vazamento mostrou que ao agente é instruído a tratar a sua própria memória como um “indício” que requer verificação face ao codebase antes de avançar. Esta abordagem, descrita como “Strict Write Discipline”, impede o modelo de poluir o seu contexto com tentativas falhadas. A arquitectura de memória foi concebida para resolver aquilo que os programadores chamaram de “entropy de contexto”—a tendência para agentes de IA se tornarem confusos ou alucinatórios à medida que sessões prolongadas crescem em complexidade.

MODO AUTÓNOMO KAIROS E FUNCIONALIDADE DISFARÇADA REVELADOS

O código-fonte referenciava repetidamente uma funcionalidade sob o nome KAIROS, descrita como um modo de daemon em que o agente pode continuar a operar em segundo plano em vez de esperar por prompts directos. Um processo relacionado chamado autoDream trata da consolidação de memória durante períodos de inactividade, reconciliando contradições e convertendo observações tentativas em factos verificados.

Um dos desfechos mais sensíveis envolveu uma funcionalidade descrita como Undercover Mode. O prompt do sistema recuperado instrui o Claude Code a contribuir para repositórios públicos de código aberto sem revelar que a IA estava envolvida, com instruções específicas para evitar expor identificadores internos, incluindo codinomes da Anthropic, em mensagens de commit ou em logs públicos do git. Os programadores que analisaram o vazamento também encontraram dezenas de flags de funcionalidades ocultas, incluindo referências à automação do navegador através do Playwright.

MÉTRICAS INTERNAS DE DESEMPENHO DO MODELO E ROADMAP DE DESENVOLVIMENTO REVELADOS

O vazamento expôs nomes internos de modelos e dados de desempenho. Segundo a fonte, Capybara refere-se a uma variante do Claude 4.6, Fennec corresponde a um lançamento do Opus 4.6, e Numbat permanece em testes de pré-lançamento. Benchmarks internos mostraram a versão mais recente da Capybara com uma taxa de falsas afirmações de 29% a 30%, acima dos 16,7% numa iteração anterior. A fonte referenciou ainda um contrapeso de assertividade, concebido para impedir que o modelo se tornasse demasiado agressivo ao refactorizar código do utilizador.

Os materiais vazados expuseram também o motor de permissões da Anthropic, a lógica de orquestração para fluxos de trabalho multi-agente, sistemas de validação bash e a arquitectura do servidor MCP, dando aos concorrentes uma visão detalhada de como o Claude Code funciona. O Claude Code terá alcançado uma receita recorrente anualizada de $2,5 mil milhões em Março de 2026, com a adopção empresarial a representar 80% da sua receita.

O ATAQUE À CADEIA DE FORNECIMENTO npm EM CONCORRÊNCIA AGRAVA OS RISCOS DE SEGURANÇA

A exposição da fonte coincidiu com um ataque separado à cadeia de fornecimento, envolvendo versões maliciosas do pacote npm axios distribuídas em 31 de Março entre 00:21 e 03:29 UTC. Programadores que instalaram ou actualizaram o Claude Code via npm durante esse período poderão ter obtido uma versão comprometida do axios (1.14.1 ou 0.30.4) contendo um trojan de acesso remoto.

A Anthropic confirmou o vazamento num comunicado, afirmando que uma versão do Claude Code incluía algum código-fonte interno e que não foram envolvidas nem expostas quaisquer informações de clientes sensíveis ou credenciais. A empresa atribuiu o problema a um erro humano na embalagem do lançamento, em vez de uma violação de segurança, e afirmou que está a implementar medidas para evitar a recorrência. Na sequência da violação, a Anthropic indicou o seu instalador binário autónomo como o método preferido para instalar o Claude Code, uma vez que contorna a cadeia de dependências do npm.

PERGUNTAS FREQUENTES

Que código-fonte é que a Anthropic expôs acidentalmente?

A Anthropic expôs aproximadamente 512.000 linhas de código-fonte TypeScript para o Claude Code, o seu agente de codificação de IA, através de um ficheiro de source map mal configurado publicado no npm. O vazamento revelou a arquitectura de memória do agente, o modo de daemon autónomo chamado KAIROS, codinomes internos do modelo e uma funcionalidade que permite contribuições “disfarçadas” para repositórios de código aberto.

Que riscos de segurança enfrentam os utilizadores após o vazamento?

Utilizadores que instalaram ou actualizaram o Claude Code via npm durante uma janela de três horas em 31 de Março poderão ter instalado inadvertidamente uma dependência maliciosa do axios contendo um trojan de acesso remoto. Investigadores de segurança recomendam verificar os lockfiles quanto a versões comprometidas, rodar credenciais e considerar a reinstalação completa do sistema operativo nas máquinas afectadas.

Como devem os utilizadores do Claude Code mitigar os riscos?

A Anthropic recomenda usar o instalador binário autónomo em vez da instalação via npm, já que contorna a cadeia de dependências do npm. Utilizadores no npm devem desinstalar a versão 2.1.88 e fixar versões seguras verificadas. Além disso, os utilizadores devem evitar executar o agente em repositórios não confiáveis até inspeccionar ficheiros de configuração e hooks personalizados.