Código-Fonte do Claude Code Exposto Pelo npm pela Segunda Vez: O Que Vazou e o Que Isso Revela Sobre a Anthropic
O que vazou e o que isso revela: Como um Arquivo de 60 MB Revelou 512 Mil Linhas de Código da Anthropic
Há erros que acontecem uma vez e ensinam. Há erros que acontecem duas vezes e revelam algo mais profundo sobre um processo. A Anthropic está lidando com o segundo tipo.
Em 31 de março de 2026, o pesquisador de segurança Chaofan Shou revelou que a versão 2.1.88 do pacote npm @anthropic-ai/claude-code continha um arquivo cli.js.map, um source map que permitia a qualquer pessoa reconstruir integralmente o código-fonte original em TypeScript da ferramenta a partir de seu bundle de produção minificado. Em poucas horas, o código havia sido espelhado em repositórios públicos do GitHub, acumulando mais de 1.100 estrelas. Era a segunda vez em pouco mais de um ano que exatamente isso acontecia.
O Que é um Source Map e Por Que Ele Não Deveria Estar Aqui
Para quem está fora do universo de desenvolvimento frontend e de ferramentas CLI, a natureza do problema merece uma explicação rápida. Quando um código JavaScript é preparado para produção, ele passa por um processo de minificação: nomes de variáveis são encurtados, espaços são removidos e a estrutura legível do código original é comprimida em algo funcional, mas praticamente ilegível para humanos.
Os source maps existem para reverter esse processo durante a depuração. Eles mapeiam cada linha do código minificado de volta ao arquivo TypeScript original, com nomes de funções, comentários e estrutura intactos. São ferramentas essenciais no ambiente de desenvolvimento, mas não têm nenhum motivo para existir num pacote de produção distribuído publicamente via npm.
No caso em questão, o arquivo cli.js.map tinha 60 megabytes e, ao ser processado, revelou aproximadamente 1.900 arquivos e mais de 512.000 linhas de código, incluindo cerca de 40 ferramentas integradas e 50 comandos de barra do Claude Code.
Um Padrão Que Exige Explicação
O aspecto mais desconcertante do incidente não é o vazamento em si, mas o fato de ser o segundo em 13 meses com o mesmo vetor de exposição.
No dia do lançamento original do Claude Code, em 24 de fevereiro de 2025, um source map inline codificado em base64 foi incluído no arquivo JavaScript minificado do pacote. A Anthropic identificou e removeu o mapa de origem em cerca de duas horas, mas o código já havia sido extraído e preservado por desenvolvedores atentos. Nos 13 meses seguintes, a empresa lançou 363 versões do pacote, e em algum momento nessa sequência o source map foi reintroduzido. Ainda não está claro qual atualização específica reverteu a correção.
Há ainda um terceiro incidente relacionado. Em 7 de março de 2026, o pacote npm do Claude Agent SDK da Anthropic foi encontrado contendo o bundle completo da CLI do Claude Code, um vetor diferente, envolvendo um executável inteiro em vez de um mapa de origem, mas com resultado similar em termos de exposição de código interno.
Três episódios distintos de exposição acidental via npm, com variações no mecanismo mas convergência no resultado, sugerem que o problema está menos na negligência pontual e mais na ausência de verificações automatizadas no pipeline de publicação. Uma checagem simples que detecte a presença de source maps antes de publicar no npm teria evitado ao menos dois desses três incidentes.
O Que Foi Exposto, o Que Não Foi e Por Que Isso Importa
A distinção entre o que vazou e o que não vazou é importante para calibrar a gravidade real do episódio.
Os pesos dos modelos Claude e os dados de usuários da Anthropic não estão em risco. O Claude Code é uma aplicação de terminal do lado do cliente, e o valor central da plataforma, os modelos de linguagem que processam as solicitações, reside nos servidores da Anthropic, inacessíveis por esse vetor de exposição. Nenhuma credencial de usuário foi comprometida.
O que o código exposto revela é a arquitetura interna da ferramenta: flags de funcionalidades para capacidades ainda não lançadas, prompts de sistema, configurações de sub-agentes, definições das ferramentas disponíveis, sistemas de telemetria e protocolos de comunicação entre processos. Para a maioria dos usuários, isso é tecnicamente irrelevante. Para concorrentes e pesquisadores, é um mapa detalhado de como a Anthropic pensa sobre o produto.
O Caso do “Swarms” Como Precedente
A versão anterior do código exposto já havia demonstrado concretamente o tipo de inteligência competitiva que esse tipo de acesso proporciona. Pesquisadores que analisaram o código do primeiro vazamento descobriram referências a um sistema multi-agente com codinome interno “Swarms” e o documentaram publicamente duas semanas antes de a Anthropic anunciar oficialmente a funcionalidade em fevereiro de 2026.
Isso significa que a exposição do código não é apenas uma questão de princípio ou de propriedade intelectual abstrata. Ela tem consequências práticas para o roadmap de produto da empresa, permitindo que concorrentes se antecipem a lançamentos e que a Anthropic perca o controle narrativo sobre seus próprios anúncios.
A Contradição Entre Postura Legal e Controle de Engenharia
O que torna o momento atual particularmente revelador é o contraste entre a agressividade jurídica da Anthropic em relação ao uso não autorizado de seu código e a recorrência dos vazamentos via npm.
Em 19 de março de 2026, a empresa entrou com uma ação judicial contra a OpenCode, uma ferramenta de terceiros que utilizava APIs internas do Claude Code para oferecer acesso com desconto aos modelos Claude. A ação, combinada com atualizações nos termos de serviço que passaram a proibir explicitamente o uso do Claude através de clientes de terceiros, sinaliza que a Anthropic trata a visibilidade de seu código como uma questão legal de alta prioridade.
É uma posição difícil de sustentar com credibilidade quando, paralelamente, a própria infraestrutura de distribuição da empresa expõe esse mesmo código acidentalmente pela segunda vez. Processar terceiros pelo uso não autorizado de código que foi disponibilizado publicamente por erro interno cria uma tensão que nenhuma declaração de relações públicas resolve facilmente.
O Que Muda a Partir Daqui
A Anthropic não emitiu declaração pública sobre o incidente mais recente. A expectativa natural é que o source map seja removido do pacote e que alguma forma de verificação seja adicionada ao processo de publicação para evitar uma terceira ocorrência.
Mas o episódio deixa uma questão mais ampla em aberto. À medida que ferramentas de desenvolvimento baseadas em IA se tornam infraestrutura crítica para equipes de engenharia ao redor do mundo, o padrão de segurança esperado de seus fornecedores precisa elevar. Processos de build que acidentalmente incluem artefatos de depuração em pacotes de produção são falhas de higiene básica em qualquer pipeline moderno de CI/CD.
O Claude Code é hoje uma das ferramentas de agentes de codificação mais respeitadas do mercado, com uma base de usuários fiel e crescente. Essa reputação foi construída sobre a qualidade do produto. Mantê-la exige que o mesmo rigor aplicado ao desenvolvimento do modelo seja estendido aos processos de engenharia que o entregam ao mundo.
