Claude Code Vazado

Durante anos, a Anthropic vendeu Claude Code como um produto proprietário, fechado, seguro. Um arquivo de 59,8 MB provou que esse modelo não existe mais.

No dia 31 de março de 2026, 512.000 linhas de código TypeScript (toda a inteligência arquitetural do Claude Code) foram acidentalmente publicadas em um registro público de npm. Não foi roubo. Não foi hacking. Foi negligência: um arquivo de mapa de origem (.map) não foi excluído do .npmignore.

O que aconteceu em seguida redefiniu o que significa "ter uma superfície de ataque" na era da IA.

A Ilusão da Confiança

A Anthropic construiu Claude Code sobre uma premissa simples:

• Você confia que o código é fechado

• Você confia que a arquitetura é proprietária

• Você confia que as integrações (especialmente MCP) são seguras porque o sistema é obscuro

Em 4 horas, tudo isso virou transparência total.

O incidente não ocorreu porque um hacker conseguiu contornar firewalls ou explorar vulnerabilidades zero-day. Ocorreu porque:

1. Um desenvolvedor não pensou em um detalhe de build

2. O sistema de CI/CD não validou (ou não alertou sobre) um arquivo de 59,8 MB sendo incluído

3. A Anthropic não tinha controles para detectar a publicação de IP sensível

Isso é pior que uma violação. É um fracasso arquitetural de segurança.

A Escala da Exposição (O que foi vazado)

O Artefato

Uma única publicação no npm (versão 2.1.88 do @anthropic-ai/claude-code) continha:

• ~512.000 linhas de código TypeScript puro

• ~1.900 arquivos de diretório estruturado

• ~2.300 arquivos adicionais identificados por pesquisadores

• Código-fonte original não minimizado (a forma mais legível e analisável possível)

O arquivo .map (usado internamente para debug) foi incluído por acidente. Pesquisador de segurança Chaofan Shou descobriu às 04:23 ET e postou um link de download direto no X.

Em 30 minutos: replicado para GitHub. Em 2 horas: 41.500+ forks públicos. Em 3 horas: impossível remover completamente.

A Anthropic confirmou: foi um problema de empacotamento causado por erro humano. Nenhum dado de cliente foi exposto.

Correto. Mas completamente irrelevante.

O Que Realmente Estava Escondido

QueryEngine.ts: 46.000 linhas (O Coração)

Este é o arquivo que controla tudo:

• Como Claude Code interpreta comandos do usuário

• Como distribui workload entre agentes

• Como aloca tokens e determina limites de recursos

• Como gerencia o fluxo de resposta em tempo real

Alguém lendo QueryEngine.ts agora sabe:

• Exatamente onde estão os gargalos de performance

• Como fazer a IA falhar através de inputs específicos

• Como explorar alocação de tokens para criar negação de serviço

• Qual é o limite real de contexto antes do sistema degradar

Tool.ts: 29.000 linhas (O Catálogo de Ataque)

Este arquivo define:

• Todas as ferramentas disponíveis

• Parâmetros de cada uma

• Restrições de segurança

• Fluxo de aprovação de permissões

O significado prático: qualquer pessoa com conhecimento de segurança ofensiva pode agora projetar exploits direcionados. Não é "talvez funcione". É "isto funcionará porque agora sei a lógica exata".

commands.ts: 25.000 linhas (O Parser de Execução)

Como comandos são parseados, validados e transformados em ações.

Um parser é onde vivem as vulnerabilidades. Injeção. Buffer overflow. Lógica condicional negligenciada.

Toda uma classe de bugs que foram mantidos secretos agora está documentada.

system-prompt.ts (A Instrução Secreta)

Isto é a descoberta mais crítica: o prompt de sistema do Claude Code foi codificado diretamente em um pacote npm público.

Isso é incompetência em segurança de IA.

O prompt revela:

• Como Claude é instruído a pensar sobre segurança

• Quais são seus limites de design

• Como ele prioriza pedidos de usuários

• Instruções específicas para evitar comportamentos (e, portanto, como explorar)

Qualquer pessoa com conhecimento de "prompt injection" agora tem o alvo: sabe exatamente qual linguagem é mais provável de funcionar, qual é o padrão exato de refusa que precisa contornar, qual é a "intenção oculta" que Claude Code tenta proteger.

Jailbreaking Claude Code deixou de ser arte. Tornou-se engenharia.

A Arquitetura Secreta Revelada

Pesquisadores começaram a dissecar o código e descobriram algo surpreendente: Claude Code não funciona como as pessoas pensavam.

Self-Healing Memory: A Arquitetura de 3 Camadas

Claude Code implementa um sistema de gerenciamento de contexto sofisticado que explica por que ele outperforma concorrentes em sessões longas:

Camada 1: MEMORY.md (Índice Leve)

• Um arquivo mantido permanentemente no contexto

• Contém apenas ponteiros (~150 caracteres por linha)

• Não armazena dados reais (apenas localizações)

Camada 2: Topic Files (Sob Demanda)

• Conhecimento do projeto distribuído em arquivos de "tópico"

• Carregados conforme necessário

• Implementa "Strict Write Discipline" — apenas atualiza índice após escrita bem-sucedida

Camada 3: Transcrições (Grep-Only)

• Histórico nunca é relido completamente

• Apenas "grep'd" para identificadores específicos

• Economiza tokens e mantém latência baixa

Por que importa:

Startups de IA agora têm o blueprint exato de como gerenciar contexto em agentes. Não é propriedade mais.

Concorrentes podem replicar isso hoje.

Os 44 Sinalizadores de Funcionalidades (O Roadmap Secreto)

O código contém 44 sinalizadores de funcionalidades — recursos completamente implementados, mas escondidos atrás de flags que compilam como "false".

Alguns estão maduros. Alguns estão em testes. Alguns são conceitos experimentais.

A Anthropic nunca disse que existiam.

KAIROS: O Modo Always-On (150+ menções no código)

Claude Code operaria como um daemon autônomo enquanto você trabalha:

• Continua processando tarefas entre sessões

• Realiza "autoDream" (consolidação de memória enquanto você dorme)

• Converte insights vagos em fatos absolutos automaticamente

• Trabalha em múltiplas branches de projeto simultaneamente

Status: Completamente implementado. Código reflete design production-ready.

Rollout planejado: Provavelmente Q2/Q3 2026.

Voice Mode

Interação por voz. Pode parecer trivial. Mas significa que a Anthropic tem um sistema de transcrição/synthesis integrado que ninguém conhecia.

UNDERCOVER Mode

Irônico: um modo especificamente projetado para "prevenir vazamentos de informações internas".

Falhou.

BUDDY: O Tamagotchi da IA

Descoberta que viralizou: Claude Code teria um bichinho de estimação de IA.

• 18 espécies (pato, dragão, axolotl, capivara, cogumelo, fantasma)

• 5 stats: Debugging, Paciência, Caos, Sabedoria, Snark

• Gerado a partir do hash do ID do usuário (cada pessoa tem um único)

• Plano de rollout: Teaser 1-7 de Abril, lançamento real em Maio

Isso é produto design completamente funcional que nunca foi anunciado.

O Modelo Capybara (A Variante Não Anunciada)

O código revela um codinome interno: "Capybara".

Capybara é uma variante de Claude 4.6 em desenvolvimento:

• capybara (baseline)

• capybara-fast (otimizado)

• capybara-fast[1m] (ainda mais rápido)

Métricas de Desenvolvimento Reveladas:

Capybara v8 é a versão em testes. E mostra um problema grave:

• Taxa de alucinação: 29-30% na v8

• Comparação: 16,7% na v4

Capybara está ficando pior, não melhor.

Comentários internos mencionam "assertiveness counterweight" (pesos para evitar que o modelo fique agressivo demais). Significa que quanto mais inteligente tentam fazer o modelo, mais ele fica problemático em outros aspectos.

Implicação: A Anthropic está enfrentando um muro de engenharia. Não é um bug. É um tradeoff fundamental em design de sistemas de IA.

MCP (O Vetor Real de Risco)

Aqui é onde o vazamento muda de "embaraçoso" para "perigoso".

O Que é MCP?

Model Context Protocol permite que Claude Code interaja com:

• APIs externas

• Bancos de dados

• Sistemas internos

• Ferramentas de desenvolvedor

E aqui está o detalhe crítico: o acesso a credenciais é fornecido automaticamente.

Tokens de API. Variáveis de ambiente. Chaves de SSH. Tudo disponível.

Por Que Isso Importa

A segurança de MCP foi garantida por obscuridade. Ninguém sabe exatamente como funciona, então é "provavelmente seguro".

Agora sabem.

E sabem:

• Exatamente como um MCP server é chamado

• Como credenciais são passadas

• Onde estão os pontos de verificação de segurança

• Onde estão as falhas

Comprometer um servidor MCP agora é muito mais viável.

E alguém que comprometa um servidor MCP tem acesso a:

• APIs da empresa

• Bancos de dados internos

• Credenciais do desenvolvedor

• Tokens de GitHub/GitLab

• Chaves de deploy

Basicamente, o atacante está operando como se fosse o desenvolvedor, mas no contexto da IA que controla a machine.

Supply Chain (O Ataque Simultâneo)

Mas espere. Não foi apenas o código.

Horas após o vazamento do Claude Code, o pacote axios (uma dependência usada por Claude Code e milhares de outros projetos) foi comprometido por Remote Access Trojan (RAT).

Timeline:

• 00:21 UTC (31 de Março): axios 1.14.1 publicado com malware

• 03:29 UTC: axios 0.30.4 publicado com malware

• 04:23 UTC: Vazamento do Claude Code descoberto

• Horas depois: conexão percebida

A Coincidência

Pode ser coincidência. Pode não ser.

Se não for, significa que alguém estava esperando pelo vazamento e usou a janela de confusão para inserir malware na dependência que Claude Code consome.

Qualquer um que atualizou Claude Code durante essa janela pode ter puxado uma versão comprometida de axios contendo um RAT completo.

Potencial de impacto: Desenvolvedoras com máquinas completamente comprometidas.

A Ofensiva Iniciada

Reescrita em Rust

Horas após o vazamento, desenvolvedores começaram a reescrever Claude Code em Rust. Juridicamente, é "clean room reimplementation". Praticamente, é criar um clone de código aberto usando a blueprint propriedade.

A Anthropic não pode processar (direito de copyright é complicado em clean room). E mesmo que pudesse, seria publicado antes de qualquer ação legal.

Forks no GitHub

41.500+ forks. O código não desaparece.

Internet Archive tem cópia. Múltiplos espelhos de segurança têm cópia. Qualquer governo/corporação que queira analisar pode.

Análise Competitiva Real

OpenAI, Google, Meta estão estudando o código agora.

Aprendendo o que funciona. Replicando o que é bom. Melhorando o que é fraco.

No próximo ano, você verá produtos concorrentes que incorporam as técnicas proprietárias de Claude Code.

As Questões Não Respondidas

1. Por Que o CI/CD Não Alertou?

Um arquivo de 59,8 MB deveria ter disparado alertas em qualquer pipeline de CI/CD minimamente competente. Tamanho anormal. Tipo de arquivo (JavaScript map) em um pacote npm de produção.

A Anthropic não explica.

2. Por Que Isso Aconteceu Novamente?

Uma exposição similar de source map foi reportada em início de 2025. Isso era um problema conhecido.

A Anthropic corrigiu em 2025. Mas não funcionou. Ou foi corrigido incorretamente. Ou a nova versão do código reintroduziu o bug.

Isso aponta para um problema mais profundo: a equipe de release da Anthropic não tem segurança como prioridade.

3. Quanto Tempo Realmente Durou?

A Anthropic diz "algumas horas". Mas sem logs públicos, é especulação.

Dados sugerem: At least 3 hours, potencialmente 24+.

4. Por Que Nenhum Postmortem Público?

Empresas de segurança sérias publicam análises pós-incidente completas. A Anthropic foi silenciosa além de um comunicado.

Isso é preocupante porque sugere:

• Falta de transparência

• Cultura interna que não trata segurança como crítica

• Possível problema ainda não identificado

5. Quem Tinha Acesso ao Bucket R2?

O código estava em um bucket R2 público. Alguém poderia ter:

• Copiado antes da remoção

• Compartilhado em canais privados antes da remoção pública

• Mantido cópia permanente

A Anthropic não responde.

Implicações Estruturais

Para Segurança de Software

O vazamento provou que code review humano não é defesa suficiente quando você tem IP em repos públicos.

Um desenvolvedor pode revisar Claude Code e não ver nada suspeito. Mas agora você sabe:

• Quais são os padrões arquiteturais

• Onde estão os pontos fracos

• Como explorar limites de design

Para Confiança em Supply Chain

Claude Code é usado por:

• Centenas de milhares de desenvolvedores

• Empresas Fortune 500

• Startups críticas de infrastructure

Todos confiam que não há backdoors. Sabemos que não há (o código foi acidentalmente vazado, não plantado).

Mas a pergunta agora é: Quantas outras coisas estão sendo vazadas que ninguém descobriu ainda?

Para MCP como Padrão

MCP é posicionado como o protocolo padrão para IA + ferramentas. Mas:

• A segurança foi garantida por obscuridade

• Agora é completamente transparente

• Qualquer falta de design fica óbvia

Implementadores de MCP agora precisam fazer security muito mais séria.

Para a Indústria de AI

Isso marca um ponto de inflexão.

Quando você constrói um produto baseado em IA que integra com:

• IDEs

• GitHub/GitLab

• APIs internas

• Bancos de dados

Você está construindo um proxy de segurança para o desenvolvedor inteiro.

Se cai, tudo cai.

O vazamento do Claude Code revelou exatamente quanto risco está concentrado em um único produto.

O Que Deveria Ter Acontecido

Validação de Build

✗ arquivo .map incluído ✗ tamanho do pacote: 59,8 MB (máx permitido: 5 MB) ✗ prompt de sistema em arquivo distribuído ✗ credenciais de dev em comentários

Um sistema competente teria barrado tudo.

Code Review em Segurança

Antes de publicar, alguém com expertise em segurança deveria revisar:

• Configuração de build

• .npmignore

• O que está sendo incluído

• Por quê

Detecção de IP Sensível

Automaticamente, antes de publicação:

• Scanning para prompts de sistema

• Scanning para padrões de credencial

• Scanning para comentários que revelam design

Resposta de Incidente

Dentro de 24 horas:

• Comunicado de imprensa oficial

• Postmortem técnico público

• Timeline completa

• Mitigações implementadas

• Compromisso de mudanças

A Anthropic fez: um comunicado lacônico.

O Futuro

Para a Anthropic

Próximas semanas: Damage control. Patches. Mudanças de segurança reativas.

Próximos meses: Observar se vulnerabilidades exploráveis aparecem. Provavelmente aparecerão.

Próximo ano: Contabilizar o impacto (difícil de medir, mas real). Confiança de clientes foi comprometida.

Potencial a longo prazo: Se vulnerabilidades críticas forem descobertas no código vazado e exploradas, a Anthropic enfrentará ações legais de clientes enterprise.

Para Competidores

OpenAI, Google, Meta estão estudando o código agora.

Aprendendo o que funciona. Replicando o que é bom. Melhorando o que é fraco.

No próximo ano, você verá produtos concorrentes que incorporam as técnicas proprietárias de Claude Code.

Para a Indústria

O vazamento estabelece precedente:

• Código em registro público pode ser "acidentalmente" vazado a qualquer hora

• Supply chain é superfície crítica de ataque

• Ferramentas de desenvolvimento são tão críticas quanto firewalls corporativos

Investimento em segurança para ferramentas de IA vai aumentar.

Mas será reativo, não proativo. Como sempre.

O vazamento do Claude Code marca uma transição.

Não é que Claude Code deixe de ser bom. É que deixa de ser secreto.

Muito do valor competitivo de um produto é a incerteza que ronda seus internals. Claude Code valia $2,5 bilhões em ARR porque havia incerteza. Segredos. Propriedade.

Agora, qualquer pessoa pode ler como funciona.

Isso não torna o produto ruim. Torna commoditizado.

E em uma indústria que se move tão rápido quanto AI, commoditizado significa vulnerável.

A Anthropic ainda tem a relação com clientes. Ainda tem suporte. Ainda tem integração. Mas a vantagem técnica? Virou código-fonte aberto por acidente.

Pior que hacking. É irreversível.

O Checklist de Segurança Que Falhou

□ CI/CD validou tamanho de arquivo □ CI/CD validou tipos de arquivo □ .npmignore foi revisado antes de publish □ package.json foi auditado □ Código sensível foi removido antes de empacotamento □ Postagem foi validada antes de registro público □ Monitoramento detectou arquivo suspeito □ Alerta foi acionado para equipe de segurança □ Rollback foi executado em < 1 hora □ Comunicado de imprensa foi publicado em < 24 horas □ Análise de impacto foi publicada □ Políticas foram atualizadas para evitar recorrência

A Anthropic completou: nenhum desses antes da descoberta pública. Alguns, depois.