#ClaudeCode500KCodeLeak
Em 31 de março de 2026, a Anthropic expôs involuntariamente mais de 512.000 linhas do seu código proprietário em TypeScript ao público na internet.
A causa não foi sofisticada. Foi operacional.
Um ficheiro .map — um artefacto de depuração usado para reconstruir código minificado — não foi excluído através do .npmignore durante uma atualização de rotina do pacote npm Claude Code. Em ambientes de produção, os mapas de origem nunca são enviados. Este foi.
O ficheiro estava acessível através de um link de um bucket Cloudflare R2 incorporado nos metadados do pacote. Em poucas horas, o investigador de segurança Chaofan Shou identificou-o e partilhou-o. A publicação alcançou dezenas de milhões. Milhares de desenvolvedores fizeram fork do repositório antes de começarem os esforços de remoção.
Quando a Anthropic removeu milhares de cópias do GitHub, o código já tinha sido arquivado, espelhado e distribuído por jurisdições além do alcance da aplicação efetiva da lei. Nesse momento, a contenção já não era possível.
A história mais importante não é o vazamento em si, mas o que revelou.
O código exposto confirma que o Claude Code funciona como um agente baseado em CLI construído em TypeScript, executado no Bun e renderizado com React-Ink. Isso era esperado. O que não era visível anteriormente era a camada de controlo interno.
Uma funcionalidade, rotulada como “Modo Disfarçado” e marcada como crítica, foi projetada para impedir que o modelo exponha nomes internos de projetos e detalhes de infraestrutura ao interagir em ambientes de código aberto. A sua presença destaca um foco deliberado na segurança de prompts e na divulgação controlada. A sua exposição evidencia os limites desse controlo.
A base de código faz referência a aproximadamente 44 flags de funcionalidades, incluindo um daemon de fundo não lançado chamado KAIROS e variantes internas do modelo, como “Capybara”, que se acredita corresponder a uma iteração do Claude 4.6. Strings adicionais sugerem o desenvolvimento contínuo de variantes mais recentes do Opus. Nenhuma dessas informações era destinada à visibilidade pública.
Mais consequente é a própria arquitetura.
O sistema de memória segue um design de três camadas: um ficheiro de índice central, módulos específicos por tópico carregados sob demanda, e transcrições completas de sessões retidas para recuperação semântica. Isto reflete uma escolha de design clara para carregamento preguiçoso do contexto, em vez de maximizar o uso de janelas ativas — uma otimização que reduz a pressão de tokens e melhora a escalabilidade.
A estrutura do agente usa um modelo de fork-join baseado na herança de cache KV. Subagentes recebem o estado contextual completo sem recomputação, permitindo uma paralelização eficiente. Isto não é um detalhe trivial de implementação; representa meses de design de infraestrutura, agora efetivamente documentados.
A resposta da Anthropic, entregue pelo engenheiro Boris Cherny, atribuiu o incidente a uma etapa de implantação esquecida. A empresa implementou desde então verificações automatizadas, incluindo passos de verificação assistidos pelo próprio Claude. Importante, nenhum dado de cliente foi exposto. O vazamento limitou-se à arquitetura interna.
Ainda assim, as implicações comerciais são significativas.
Estima-se que o Claude Code gere aproximadamente 2,5 mil milhões de dólares em receita recorrente anual, com a maioria proveniente de clientes empresariais. Esses clientes não estão apenas a comprar capacidade — estão a comprar confiança nas fronteiras de segurança do sistema e no seu design proprietário.
Essa confiança está agora estruturalmente mais fraca.
Não porque o sistema esteja comprometido, mas porque a sua lógica interna já não é opaca. As superfícies de ataque são mais fáceis de estudar quando a sua estrutura é visível. Os mecanismos de defesa são mais fáceis de sondar quando as suas condições são conhecidas.
O timing amplificou o impacto. No mesmo dia, um vazamento separado de 4TB de dados da plataforma de recrutamento AI Mercor veio a público. A sobreposição diluiu a atenção, mas não diminui a importância de ambos os eventos.
Entretanto, o ecossistema de código aberto respondeu imediatamente.
Apareceram dois projetos em poucos dias. Um é uma reimplementação em Python de sala limpa, projetada para replicar funcionalidades sem usar o código original. O outro é uma adaptação independente de modelo que porta a arquitetura para múltiplos backends de IA. Abordagens de sala limpa têm precedentes legais de longa data, e se infringem aqui permanece uma questão em aberto.
A questão mais profunda não é o vazamento em si. É o colapso da assimetria de informação.
A Anthropic não perdeu apenas código. Perdeu a vantagem de ser a única organização que já resolveu problemas específicos de engenharia no design de agentes — gestão de contexto sob restrição, coordenação multiagente e mecanismos de divulgação controlada.
Essas soluções agora estão visíveis.
A questão que resta é onde realmente está a barreira de proteção.
Se a vantagem reside principalmente na qualidade do modelo, o dano é contido. Os modelos não podem ser revertidos a partir de uma ferramenta CLI. Se a vantagem reside nas decisões de engenharia acumuladas na camada de agentes, o impacto é mais duradouro.
A realidade provavelmente é uma combinação de ambos.
Quão importante isso será nos próximos doze meses ficará claro.
Em 31 de março de 2026, a Anthropic expôs involuntariamente mais de 512.000 linhas do seu código proprietário em TypeScript ao público na internet.
A causa não foi sofisticada. Foi operacional.
Um ficheiro .map — um artefacto de depuração usado para reconstruir código minificado — não foi excluído através do .npmignore durante uma atualização de rotina do pacote npm Claude Code. Em ambientes de produção, os mapas de origem nunca são enviados. Este foi.
O ficheiro estava acessível através de um link de um bucket Cloudflare R2 incorporado nos metadados do pacote. Em poucas horas, o investigador de segurança Chaofan Shou identificou-o e partilhou-o. A publicação alcançou dezenas de milhões. Milhares de desenvolvedores fizeram fork do repositório antes de começarem os esforços de remoção.
Quando a Anthropic removeu milhares de cópias do GitHub, o código já tinha sido arquivado, espelhado e distribuído por jurisdições além do alcance da aplicação efetiva da lei. Nesse momento, a contenção já não era possível.
A história mais importante não é o vazamento em si, mas o que revelou.
O código exposto confirma que o Claude Code funciona como um agente baseado em CLI construído em TypeScript, executado no Bun e renderizado com React-Ink. Isso era esperado. O que não era visível anteriormente era a camada de controlo interno.
Uma funcionalidade, rotulada como “Modo Disfarçado” e marcada como crítica, foi projetada para impedir que o modelo exponha nomes internos de projetos e detalhes de infraestrutura ao interagir em ambientes de código aberto. A sua presença destaca um foco deliberado na segurança de prompts e na divulgação controlada. A sua exposição evidencia os limites desse controlo.
A base de código faz referência a aproximadamente 44 flags de funcionalidades, incluindo um daemon de fundo não lançado chamado KAIROS e variantes internas do modelo, como “Capybara”, que se acredita corresponder a uma iteração do Claude 4.6. Strings adicionais sugerem o desenvolvimento contínuo de variantes mais recentes do Opus. Nenhuma dessas informações era destinada à visibilidade pública.
Mais consequente é a própria arquitetura.
O sistema de memória segue um design de três camadas: um ficheiro de índice central, módulos específicos por tópico carregados sob demanda, e transcrições completas de sessões retidas para recuperação semântica. Isto reflete uma escolha de design clara para carregamento preguiçoso do contexto, em vez de maximizar o uso de janelas ativas — uma otimização que reduz a pressão de tokens e melhora a escalabilidade.
A estrutura do agente usa um modelo de fork-join baseado na herança de cache KV. Subagentes recebem o estado contextual completo sem recomputação, permitindo uma paralelização eficiente. Isto não é um detalhe trivial de implementação; representa meses de design de infraestrutura, agora efetivamente documentados.
A resposta da Anthropic, entregue pelo engenheiro Boris Cherny, atribuiu o incidente a uma etapa de implantação esquecida. A empresa implementou desde então verificações automatizadas, incluindo passos de verificação assistidos pelo próprio Claude. Importante, nenhum dado de cliente foi exposto. O vazamento limitou-se à arquitetura interna.
Ainda assim, as implicações comerciais são significativas.
Estima-se que o Claude Code gere aproximadamente 2,5 mil milhões de dólares em receita recorrente anual, com a maioria proveniente de clientes empresariais. Esses clientes não estão apenas a comprar capacidade — estão a comprar confiança nas fronteiras de segurança do sistema e no seu design proprietário.
Essa confiança está agora estruturalmente mais fraca.
Não porque o sistema esteja comprometido, mas porque a sua lógica interna já não é opaca. As superfícies de ataque são mais fáceis de estudar quando a sua estrutura é visível. Os mecanismos de defesa são mais fáceis de sondar quando as suas condições são conhecidas.
O timing amplificou o impacto. No mesmo dia, um vazamento separado de 4TB de dados da plataforma de recrutamento AI Mercor veio a público. A sobreposição diluiu a atenção, mas não diminui a importância de ambos os eventos.
Entretanto, o ecossistema de código aberto respondeu imediatamente.
Apareceram dois projetos em poucos dias. Um é uma reimplementação em Python de sala limpa, projetada para replicar funcionalidades sem usar o código original. O outro é uma adaptação independente de modelo que porta a arquitetura para múltiplos backends de IA. Abordagens de sala limpa têm precedentes legais de longa data, e se infringem aqui permanece uma questão em aberto.
A questão mais profunda não é o vazamento em si. É o colapso da assimetria de informação.
A Anthropic não perdeu apenas código. Perdeu a vantagem de ser a única organização que já resolveu problemas específicos de engenharia no design de agentes — gestão de contexto sob restrição, coordenação multiagente e mecanismos de divulgação controlada.
Essas soluções agora estão visíveis.
A questão que resta é onde realmente está a barreira de proteção.
Se a vantagem reside principalmente na qualidade do modelo, o dano é contido. Os modelos não podem ser revertidos a partir de uma ferramenta CLI. Se a vantagem reside nas decisões de engenharia acumuladas na camada de agentes, o impacto é mais duradouro.
A realidade provavelmente é uma combinação de ambos.
Quão importante isso será nos próximos doze meses ficará claro.
:
