){kind=small}
)
A Anthropic vazou o código do Claude Code, assistente de codificação alimentado por IA. Durante a madrugada, um arquivo de mapa JavaScript de quase 60 MB, que seria usado para correções internas, foi incluído no registro público da empresa na npm. O TecMundo entrou em contato com a empresa, que comentou o caso.
“Hoje mais cedo, uma versão do Claude Code continha código-fonte interno. Nenhum dado ou credencial sensível de clientes foi envolvido ou exposto. Trata-se de um problema de empacotamento causado por erro humano, e não uma violação de segurança. Estamos implementando medidas para evitar que isso aconteça novamente", afirmou a Anthropic em resposta ao TecMundo.
Nossos vídeos em destaque
Como o vazamento aconteceu
O pacote npm publicado @anthropic-ai/claude-code supostamente continha um arquivo que fazia referência ao código-fonte TypeScript completo e não minimizado.
O pacote podia ser baixado diretamente como um arquivo ZIP do bucket de armazenamento em nuvem R2 da Anthropic. O código-fonte original sem modificações foi preservado e replicado em um repositório público do GitHub.
)
O que foi exposto
O arquivo publicado vazou todo o diretório do Claude Code, com aproximadamente 1.900 arquivos e mais de 512 mil linhas de código escritas em TypeScript puro. Esse tipo de informação revela como o programa se comunica com servidores, como processa comandos e como a interface funciona.
Ou seja, a divulgação afeta todos os subsistemas críticos da ferramenta e abre portas para exploração de vulnerabilidades - ou até mesmo criar ataques específicos para o Claude Code, baseado em seu funcionamento.
Quais arquivos foram comprometidos
Os principais arquivos confirmados no vazamento incluem 46 mil linhas de QueryEngine.ts, responsável por controlar como a IA responde, gerenciar respostas em tempo real, determinar o uso das ferramentas e controlar o uso de tokens.
Também foram expostas 29 mil linhas de Tool.ts, que definem o que o Claude Code pode fazer, quais ferramentas existem e podem ser acessadas. Similarmente, aproximadamente 25 mil linhas de commands.ts foram vazados, que controlam os comandos que o usuário digita e como eles são executados.
)
Funções inéditas foram reveladas pelo vazamento
O vazamento também revelou nomes internos de funções que ainda nem foram lançadas. Entre elas estão:
- Kairos, provavelmente ligada a timing e automação inteligente;
- Proactive, uma IA que age sozinha, sem necessidade de comandos frequentes;
- Voice Mode, que permite interação por voz;
- Bridge Mode, que permite interação com outros sistemas.
A falha na publicação do arquivo foi descoberta por um usuário do X, antigo Twitter, que às 5 da manhã publicou um link para download de um arquivo hospedado. Em poucas horas desenvolvedores replicaram o material no GitHub para se prevenirem caso a publicação fosse apagada.
Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
