{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreihqmpgceqdjix7ungetomvu2lnxa224e2ukcyxi2nakyjxrq74rqu",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mieyzagob3s2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreiavv7abflaig6zzlvneldykbx5mach4yqdteuue7pkxf5pk3zlmmm"
},
"mimeType": "image/png",
"size": 545143
},
"path": "/seguranca/412058-anthropic-confirma-vazamento-do-codigo-fonte-do-claude-code.htm",
"publishedAt": "2026-03-31T19:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança",
"@anthropic-ai"
],
"textContent": "A Anthropic vazou o código do Claude Code, assistente de codificação alimentado por IA. Durante a madrugada, um arquivo de mapa JavaScript de quase 60 MB, que seria usado para correções internas, foi incluído no registro público da empresa na npm. O TecMundo entrou em contato com a empresa, que comentou o caso.\n\n“Hoje mais cedo, uma versão do Claude Code continha código-fonte interno. Nenhum dado ou credencial sensível de clientes foi envolvido ou exposto. Trata-se de um problema de empacotamento causado por erro humano, e não uma violação de segurança. Estamos implementando medidas para evitar que isso aconteça novamente\", afirmou a Anthropic em resposta ao TecMundo.\n\n## Como o vazamento aconteceu\n\nO pacote npm publicado @anthropic-ai/claude-code supostamente continha um arquivo que fazia referência ao código-fonte TypeScript completo e não minimizado.\n\nO pacote podia ser baixado diretamente como um arquivo ZIP do bucket de armazenamento em nuvem R2 da Anthropic. O código-fonte original sem modificações foi preservado e replicado em um repositório público do GitHub.\n\nTodo o código ficou exposto e disponível para interação em canais oficiais da empresa.\n\n## O que foi exposto\n\nO arquivo publicado vazou todo o diretório do Claude Code, com aproximadamente 1.900 arquivos e mais de 512 mil linhas de código escritas em TypeScript puro. Esse tipo de informação revela como o programa se comunica com servidores, como processa comandos e como a interface funciona.\n\nOu seja, a divulgação afeta todos os subsistemas críticos da ferramenta e abre portas para exploração de vulnerabilidades - ou até mesmo criar ataques específicos para o Claude Code, baseado em seu funcionamento.\n\n## Quais arquivos foram comprometidos\n\nOs principais arquivos confirmados no vazamento incluem 46 mil linhas de QueryEngine.ts, responsável por controlar como a IA responde, gerenciar respostas em tempo real, determinar o uso das ferramentas e controlar o uso de tokens.\n\nTambém foram expostas 29 mil linhas de Tool.ts, que definem o que o Claude Code pode fazer, quais ferramentas existem e podem ser acessadas. Similarmente, aproximadamente 25 mil linhas de commands.ts foram vazados, que controlam os comandos que o usuário digita e como eles são executados.\n\nAté ferramentas que não foram lançadas, foram comprometidas pelo vazamento. Publicação abre brecha para exploração de vulnerabilidades estratégicas.\n\n## Funções inéditas foram reveladas pelo vazamento\n\nO vazamento também revelou nomes internos de funções que ainda nem foram lançadas. Entre elas estão:\n\n * **Kairos** , provavelmente ligada a timing e automação inteligente;\n * **Proactive** , uma IA que age sozinha, sem necessidade de comandos frequentes;\n * **Voice Mode** , que permite interação por voz;\n * **Bridge Mode** , que permite interação com outros sistemas.\n\n\n\nA falha na publicação do arquivo foi descoberta por um usuário do X, antigo Twitter, que às 5 da manhã publicou um link para download de um arquivo hospedado. Em poucas horas desenvolvedores replicaram o material no GitHub para se prevenirem caso a publicação fosse apagada.\n\nAcompanhe o **TecMundo** para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.",
"title": "Anthropic confirma vazamento do código-fonte do Claude Code"
}