Recentemente, a Anthropic enfrentou a exposição acidental de um volume significativo do código interno do Claude Code, seu assistente de programação. Diferente de um ataque hacker tradicional, o incidente foi resultado de uma falha operacional interna durante o processo de empacotamento e publicação de uma atualização no gerenciador de pacotes npm. É fundamental destacar que o vazamento se refere ao código do produto e não aos pesos ou modelos fundamentais da inteligência artificial Claude, e a empresa assegura que não houve comprometimento de dados de clientes ou credenciais.
O incidente ocorreu através da publicação da versão 2.1.88 do pacote @anthropic-ai/claude-code. Devido a um erro de publicação, um arquivo de depuração (source map) foi incluído, o qual permitiu a reconstrução ou o download do código-fonte interno que estava hospedado publicamente. Estima-se que o vazamento envolva entre 500 mil e 512 mil linhas de código, distribuídas em aproximadamente 1.900 a 2.000 arquivos TypeScript, que foram rapidamente replicados em repositórios no GitHub.
O impacto para o projeto manifesta-se principalmente na perda de propriedade intelectual e vantagem competitiva, uma vez que o acesso ao código facilita a engenharia reversa por concorrentes e expõe decisões estratégicas de arquitetura. Contudo, a análise desse código por terceiros permitiu vislumbrar funcionalidades futuras que ainda não foram lançadas oficialmente pela Anthropic. Entre as revelações do roadmap estão um modo de voz integrado, um agente mais autônomo com funcionamento contínuo, melhorias em memória e contexto persistente, além de um recurso inusitado descrito como um “pet” estilo Tamagotchi. Paralelamente ao vazamento, houve um alerta de segurança sobre um incidente separado no npm que pode ter afetado usuários que instalaram o Claude Code em 31 de março de 2026, expondo-os a um malware distribuído via biblioteca comprometida.
