Código do Claude Code vazou, retirada DMCA da Anthropic remove 8100 repositórios GitHub

A 31 de março, a Anthropic confirmou que o pacote npm da ferramenta de CLI Claude Code, na versão v2.1.88, ficou exposto a cerca de 512.000 linhas de código-fonte devido a um erro de empacotamento aquando da publicação. A Anthropic apresentou de imediato uma notificação de proteção de direitos de autor DMCA ao GitHub, tendo um total de 8.100 repositórios sido impedidos à força de serem publicamente acedidos.

Causa raiz do vazamento: o comportamento predefinido do Bun ao empacotar levou a uma exposição completa que permitiu uma “quebra sem código”

A causa raiz deste incidente deixou a comunidade de desenvolvimento atónita: a ferramenta de empacotamento Bun gera, por predefinição, ficheiros Source Map de depuração, e não existe, em todo o processo de publicação da Anthropic, qualquer etapa para desativar ou excluir este ficheiro. A função dos Source Map é mapear o código de produção comprimido de volta para o código TypeScript original; este ficheiro aponta diretamente para um pacote ZIP comprimido publicamente acessível no próprio armazenamento Cloudflare R2 da Anthropic — sem necessidade de qualquer técnica de invasão.

Depois de o problema ter sido identificado pelo estagiário investigador Chaofan Shou, da empresa de segurança blockchain Fuzzland, este publicou no X uma ligação direta ao bucket de armazenamento. Em poucas horas, começaram a surgir no GitHub muitos repositórios espelho, e alguns repositórios acumularam já dezenas de milhares de estrelas antes de a notificação DMCA produzir efeitos.

Tecnicamente, bastava adicionar as entradas correspondentes ao ficheiro .npmignore ou configurar o campo files no package.json para evitar que este incidente ocorresse. A Anthropic confirmou à VentureBeat que se trata de “um problema de empacotamento e publicação causado por erro humano” e afirmou estar a tomar medidas para impedir a repetição.

No entanto, foi a segunda ocorrência do mesmo erro. Em fevereiro de 2025, a versão inicial do Claude Code já tinha sofrido um incidente de vazamento de Source Map quase idêntico; posteriormente, a Anthropic apresentou a sua primeira notificação DMCA em abril de 2025.

Conteúdo do vazamento: 1.900 ficheiros expõem várias chaves não publicadas, incluindo KAIROS

Os cerca de 1.900 ficheiros TypeScript expostos abrangem a lógica de execução da ferramenta, a arquitetura de permissões, o sistema de memória, a telemetria e as opções de alternância de funcionalidades (feature switches). Os membros da comunidade extraíram rapidamente dados de telemetria, alternaram os ocultos feature switches e reescreveram uma versão “de sala limpa” (clean-room) em Python e Rust. As funcionalidades mais marcantes ainda não publicadas são as seguintes:

KAIROS: um processo de supervisão em segundo plano que permanece sempre em execução, monitoriza ficheiros, regista eventos e, quando está ocioso, executa um processo de integração de memória chamado “Fazer sonhos (Dreaming)”

BUDDY: uma função de animal de estimação no terminal, com 18 espécies (incluindo o capivara aquática/“water pig”), com atributos como DEBUGGING (depuração), PATIENCE (paciência) e CHAOS (caos)

COORDINATOR MODE: permite que um único agente gere e gerencie vários agentes de trabalho em paralelo

ULTRAPLAN: agenda reuniões remotas de planeamento de multiagentes com duração de 10 a 30 minutos

Dois vazamentos por semana: as normas de publicação da Anthropic são amplamente questionadas

Este incidente não foi um caso isolado. Apenas 5 dias antes, a 26 de março, a Anthropic, devido a um erro de configuração no CMS, expôs cerca de 3.000 documentos internos, incluindo detalhes do modelo não publicado “Claude Mythos”, que também foi atribuído a erro humano. Com menos de uma semana de intervalo, dois grandes incidentes inesperados consecutivos levaram o exterior a levantar questões sistémicas sobre as normas de publicação desta empresa de IA, amplamente envolvida na ajuda ao desenvolvimento e publicação de código.

A Anthropic confirmou que este incidente não envolveu vazamento de dados sensíveis de clientes, credenciais, pesos de modelos nem infraestruturas de raciocínio, e que o núcleo do modelo Claude não foi afetado. Ainda assim, o blueprint da arquitetura técnica para construir um produto concorrente ao Claude Code já reduziu significativamente as barreiras de entrada.

Deve também ter-se em atenção: no mesmo dia, entre 00:21 e 03:29 (UTC), ocorreu simultaneamente um ataque à cadeia de fornecimento contra o pacote axios no npm. A Anthropic recomenda instalar ou atualizar as dependências sujeitas a revisão do desenvolvimento do Claude Code dentro desta janela de tempo e fazer a rotação de credenciais, sugerindo ainda que no futuro se dê prioridade ao programa de instalação nativo oficial em vez do npm.

Perguntas frequentes

Por que razão o código-fonte do Claude Code é possível obter integralmente sem técnicas de invasão?

Os ficheiros Source Map gerados por predefinição pelo Bun apontam diretamente para um pacote ZIP comprimido publicamente acessível no bucket de armazenamento Cloudflare R2 da Anthropic. Qualquer pessoa só precisa de aceder a esta ligação pública para descarregar o código-fonte TypeScript completo; todo o processo não envolve qualquer ato de intrusão técnica.

Depois de remover 8.100 repositórios ao abrigo do DMCA, o código-fonte desapareceu completamente?

Não. Embora o GitHub tenha retirado os repositórios relacionados ao abrigo da notificação DMCA, o código-fonte exposto circulou em múltiplas plataformas em forma de arquivo, espelhos e versões reestruturadas; é praticamente impossível eliminá-lo completamente. As ações DMCA da Anthropic limitaram a propagação direta, mas o blueprint técnico já se espalhou amplamente.

Que impacto de segurança real este incidente teve para os utilizadores do Claude Code?

A Anthropic confirmou que não houve vazamento de dados de utilizadores, credenciais ou modelos. No entanto, se os programadores instalarem ou atualizarem o Claude Code via npm entre 31 de março, 00:21 e 03:29 (UTC), devem rever as dependências e fazer a rotação de credenciais, porque, no mesmo período, também ocorreu um ataque à cadeia de fornecimento contra o pacote axios no npm.