Vazamento do código-fonte da Anthropic em 2026: código do Claude CLI exposto devido a um erro no mapa de código do npm

Vazamento do Claude Code no npm revela recursos ainda não lançados, incluindo KAIROS, BUDDY e Agent Swarms

A empresa confirmou o incidente em 31 de março de 2026, em entrevista à Venture Beat, atribuindo-o a um erro humano no processo de empacotamento da versão. A versão 2.1.88 do @anthropic-ai/claude-code foi enviada com um arquivo de mapa de código-fonte Javascript de 59,8 MB. Basicamente, um artefato de depuração que mapeava o código de produção minificado de volta ao Typescript original, o que apontava diretamente para um arquivo zip acessível ao público localizado no próprio bucket de armazenamento Cloudflare R2 da Anthropic.

Ninguém precisou hackear nada. O arquivo simplesmente estava lá.

O pesquisador de segurança Chaofan Shou, estagiário na empresa de segurança de blockchain Fuzzland, identificou o problema e postou o link direto do bucket no X. Em poucas horas, repositórios espelhados apareceram no GitHub, alguns acumulando dezenas de milhares de estrelas antes que as remoções por DMCA da Anthropic fossem aplicadas. Os membros da comunidade já haviam começado a extrair dados de telemetria, ativar sinalizadores de recursos ocultos e elaborar reimplementações em ambiente isolado em Python e Rust para contornar questões de direitos autorais.

A causa principal era simples: o bundler do Bun gera mapas de código-fonte por padrão, e nenhuma etapa de compilação excluiu ou desativou o artefato de depuração antes da publicação. Uma entrada ausente no .npmignore ou no campo files do package.json teria evitado tudo isso.

O que os desenvolvedores encontraram lá dentro era detalhado. Os cerca de 1.900 arquivos Typescript abrangiam lógica de execução de ferramentas, esquemas de permissão, sistemas de memória, telemetria, prompts do sistema e sinalizadores de recursos — uma visão completa da engenharia de como a Anthropic constrói uma ferramenta de codificação agentica de nível de produção. A telemetria verifica prompts em busca de palavrões como um sinal de frustração, mas não registra conversas completas dos usuários nem o código. Um “modo secreto” instrui a IA a remover referências a codinomes internos e detalhes do projeto de commits do Git e pull requests.

Vários recursos ainda não lançados estavam ocultos por sinalizadores. O KAIROS é descrito como um daemon de fundo sempre ativo que monitora arquivos, registra eventos e executa um processo de consolidação de memória “sonhadora” durante o tempo ocioso. O BUDDY é um animal de estimação de terminal com 18 espécies — incluindo a capivara — que exibe estatísticas como DEBUGGING, PATIENCE e CHAOS. O COORDINATOR MODE permite que um único agente gere e gerencie agentes de trabalho paralelos. O ULTRAPLAN agenda sessões remotas de planejamento com múltiplos agentes, com duração de 10 a 30 minutos.

A Anthropic informou à Venture Beat que o incidente não envolveu dados confidenciais de clientes, credenciais, nem comprometimento dos pesos do modelo ou da infraestrutura de inferência. “Trata-se de um problema de empacotamento da versão causado por erro humano”, afirmou a empresa, acrescentando que está implementando medidas para evitar que isso se repita.

Essas medidas podem precisar ser implementadas rapidamente. Esta é a segunda vez que o mesmo erro ocorre. Um vazamento de mapa de origem quase idêntico ocorreu com uma versão anterior do Claude Code em fevereiro de 2025.

O incidente de 31 de março também ocorreu em paralelo a um ataque separado à cadeia de suprimentos do npm no pacote axios, ativo entre 00:21 e 03:29 UTC. Recomenda-se que os desenvolvedores que instalaram ou atualizaram o Claude Code via npm durante esse período verifiquem suas dependências e atualizem suas credenciais. A Anthropic recomenda seu instalador nativo em vez do npm daqui para frente.

O contexto é importante aqui. Cinco dias antes, em 26 de março, uma configuração incorreta do CMS na Anthropic expôs cerca de 3.000 arquivos internos contendo detalhes sobre o modelo “Claude Mythos”, ainda não lançado, também atribuído a erro humano. Duas divulgações acidentais significativas em menos de uma semana levantam questões sobre a higiene de lançamento em uma empresa cujas ferramentas são ativamente utilizadas para escrever e distribuir código em escala.

O código-fonte vazado continua disponível em formatos arquivados e espelhados, apesar da aplicação ativa de medidas de remoção. A Anthropic não publicou uma análise pós-incidente mais abrangente ou uma declaração pública além de seu comentário à Venture Beat.

Nenhum dado de usuário foi exposto. Os modelos principais do Claude não foram afetados. O plano para construir um concorrente ao Claude Code, no entanto, está agora consideravelmente mais fácil de montar.

Perguntas frequentes 🔎

• P: O vazamento do código-fonte do Claude Code foi um hack? Não — a Anthropic confirmou que a exposição foi um erro de empacotamento, não uma violação de segurança ou acesso não autorizado.
• P: O que realmente foi exposto no vazamento do npm da Anthropic? Aproximadamente 512.000 linhas de TypeScript cobrindo a CLI do Claude Code, incluindo telemetria, sinalizadores de recursos, recursos ocultos e arquitetura de agentes — não pesos de modelos ou dados de clientes.
• P: Meus dados estão em risco devido ao incidente do Claude Code no npm? A Anthropic afirma que nenhum dado ou credencial de usuário foi exposto; desenvolvedores que fizeram a instalação via npm durante a janela de ataque à cadeia de suprimentos do axios devem auditar as dependências e atualizar as credenciais.
• P: A Anthropic já vazou código-fonte antes? Sim — um vazamento de mapa de código-fonte quase idêntico envolvendo uma versão anterior do Claude Code ocorreu em fevereiro de 2025, tornando este o segundo incidente desse tipo em cerca de 13 meses.