A Anthropic, empresa por trás do assistente de programação Claude Code, confirmou um vazamento de código-fonte em 31 de março de 2026. O incidente, resultante de um erro humano durante a publicação de um pacote no registro npm, expôs mais de 512 mil linhas de código TypeScript e aproximadamente 1.900 arquivos internos. Embora a empresa afirme que nenhum dado pessoal de usuários foi comprometido, o vazamento levanta preocupações sobre a segurança da infraestrutura de IA e a proteção da propriedade intelectual.
)
Fonte: TecMundo
Detalhes do Vazamento
O vazamento ocorreu devido à inclusão acidental de um arquivo de mapa de fonte (source map) não ofuscado na versão 2.1.88 do pacote oficial no npm. Esse arquivo permitiu o acesso ao código-fonte TypeScript completo do Claude Code, possibilitando que pesquisadores e concorrentes compreendessem a lógica de orquestração de agentes e servidores MCP da Anthropic. A empresa agiu rapidamente para remover o pacote comprometido.
Em comunicado ao TecMundo, a Anthropic afirmou:
Hoje mais cedo, uma versão do Claude Code continha código-fonte interno. Nenhum dado ou credencial sensível de clientes foi envolvido ou exposto. Trata-se de um problema de empacotamento causado por erro humano, e não uma violação de segurança. Estamos implementando medidas para evitar que isso aconteça novamente.
O que foi Exposto?
O arquivo vazado revelou todo o diretório do Claude Code, compreendendo aproximadamente 1.900 arquivos e mais de 512 mil linhas de código em TypeScript. Essa exposição detalha a comunicação do programa com servidores, o processamento de comandos e o funcionamento da interface, impactando todos os subsistemas críticos da ferramenta. Quais os riscos disso? A divulgação abre portas para a exploração de vulnerabilidades e a criação de ataques específicos direcionados ao Claude Code.
Arquivos Comprometidos
- QueryEngine.ts: 46 mil linhas de código responsáveis por controlar as respostas da IA, gerenciar respostas em tempo real, determinar o uso de ferramentas e controlar o uso de tokens.
- Tool.ts: 29 mil linhas que definem as capacidades do Claude Code, as ferramentas disponíveis e como acessá-las.
- Commands.ts: 25 mil linhas que governam os comandos inseridos pelo usuário e sua execução.
Impacto e Medidas da Anthropic
Apesar da remoção do pacote vulnerável, o código-fonte foi replicado em um repositório público do GitHub, ampliando o alcance do vazamento. A Anthropic está implementando medidas para evitar futuras ocorrências, mas o incidente destaca a importância de rigorosos controles de segurança no desenvolvimento e na publicação de software, especialmente em projetos de inteligência artificial de grande escala.
Funções Inéditas Reveladas
O vazamento expôs nomes internos de funções ainda não lançadas, indicando o roadmap de desenvolvimento do Claude Code e potencialmente fornecendo informações valiosas para concorrentes. Qual será o impacto a longo prazo desse incidente na reputação e na competitividade da Anthropic?
Relevância do Incidente
Este incidente é considerado um dos maiores do ano em termos de impacto na propriedade intelectual e nos riscos de segurança para a infraestrutura de IA. A ocorrência ressalta a crescente necessidade de vigilância e proteção no cenário de desenvolvimento de inteligência artificial, onde a segurança do código e a prevenção de vazamentos são cruciais para a manutenção da confiança e da integridade dos sistemas.