Inteligência Artificial

Vazamento do Código-Fonte do Claude Code: O Que Foi Revelado e Por Que Importa

O código completo do Claude Code vazou via npm. Veja o que foi revelado: Undercover Mode, modelo Capybara, BUDDY, KAIROS e o impacto no mercado de IA.

18 min de leitura Atualizado em 31/03/2026

Em 31 de março de 2026, o código-fonte completo do Claude Code — a ferramenta de programação com IA mais lucrativa do mundo — foi exposto publicamente. Mais de 512.000 linhas de TypeScript distribuídas em cerca de 2.300 arquivos revelaram não apenas como a ferramenta funciona por dentro, mas também features secretas ainda não lançadas, um modelo com codinome Capybara, um sistema para funcionários da Anthropic usarem IA sem serem detectados, e até um mascote virtual estilo Tamagotchi.

Neste artigo, analisamos tudo o que foi revelado, o impacto para a segurança, e o que isso significa para empresas e desenvolvedores que usam ou planejam usar ferramentas de IA para programação.

O que aconteceu: source map de 59,8 MB no npm

A descoberta foi feita por Chaofan Shou, pesquisador e intern na Solayer Labs, que publicou a informação no X (antigo Twitter) por volta das 6h da manhã (horário de Brasília). Em menos de 30 minutos, a notícia já estava em todos os fóruns de tecnologia do mundo.

O problema: a versão 2.1.88 do pacote @anthropic-ai/claude-code no npm foi publicada com um arquivo de source map (.map) de 59,8 MB acidentalmente incluído no pacote.

Source maps são arquivos de debugging que mapeiam código compilado/minificado de volta ao código-fonte original. Na prática, qualquer pessoa que instalasse o Claude Code via npm tinha acesso ao código-fonte completo em formato legível — toda a pasta src/ do projeto.

O que foi exposto:

  • ~2.300 arquivos TypeScript com mais de 512.000 linhas de código
  • System prompt completo e instruções internas
  • Mais de 40 ferramentas independentes com classificação de risco
  • 50+ slash commands internos
  • 44 feature flags de funcionalidades ainda não lançadas
  • Codinomes de modelos internos (Capybara, Fennec, Tengu, Numbat)
  • Stack técnica completa: Bun como runtime, React com Ink para UI de terminal, Zod v4 para validação

Quer usar IA de forma segura na sua empresa?

Nossa equipe implementa agentes de IA com segurança e compliance. Sem surpresas.

Falar com especialista

Como o código vazou pela segunda vez

O mais impressionante: esta foi a segunda vez que o mesmo tipo de erro aconteceu. Em fevereiro de 2025, uma versão anterior do Claude Code já havia sido publicada com source maps incluídos, levando a Anthropic a remover o pacote do npm na época.

A causa raiz é simples: o bundler Bun (desenvolvido pela própria Anthropic, que é investidora) gera source maps por padrão em builds de produção. A equipe esqueceu de:

  1. Adicionar *.map ao .npmignore
  2. Desabilitar explicitamente a geração de source maps para builds públicas
  3. Implementar uma verificação automática no pipeline de CI/CD

Para uma empresa que se posiciona como líder em segurança de IA, cometer o mesmo erro duas vezes em pouco mais de um ano levanta questões sérias sobre seus processos internos de qualidade.

Pior ainda: apenas 5 dias antes, em 26 de março de 2026, a Fortune havia reportado que a Anthropic expôs um banco de dados com cerca de 3.000 assets internos não publicados — incluindo detalhes de um modelo ainda não lançado. Dois incidentes graves de segurança em menos de uma semana.

Leia também: Anthropic Atinge US$ 19 Bilhões em Receita com Claude Code — entenda o tamanho do negócio por trás da ferramenta que teve o código exposto.

Undercover Mode: IA fingindo ser humano em código aberto

De todas as descobertas, o Undercover Mode foi a que gerou mais controvérsia. Trata-se de um sistema completo para funcionários da Anthropic (identificados como USER_TYPE === 'ant') que contribuem para repositórios públicos de código aberto.

O que o Undercover Mode faz:

  • Injeta instruções especiais no prompt instruindo a IA a nunca revelar informações internas da Anthropic
  • Bloqueia menção a codinomes de projetos internos (Capybara, Tengu, etc.)
  • Bloqueia números de versão de modelos não lançados
  • Remove atribuição de commits — impede que "Co-Authored-By: Claude" apareça em commits públicos
  • Ativado por padrão — assume modo undercover automaticamente a menos que detecte repositório interno

A ironia é brutal: o sistema projetado para esconder informações internas falhou porque a equipe esqueceu de excluir o source map do pacote. O segredo se revelou pelo próprio descuido que deveria prevenir.

No Hacker News, a comunidade reagiu com preocupação ética. O comentário mais votado resumiu o sentimento: "Não quero LLMs fingindo ser humanos em repositórios públicos." A questão não é apenas técnica — é sobre transparência. Quando um desenvolvedor revisa um pull request de outro "desenvolvedor" e essa contribuição foi, na verdade, gerada por IA sem qualquer indicação, a confiança no processo colaborativo se deteriora.

Capybara: o possível Claude 5

O código revelou referências a um modelo experimental interno com o codinome "Capybara", disponível em três variantes:

  • capybara — modelo base
  • capybara-fast — versão otimizada para velocidade
  • capybara-fast[1m] — versão rápida com contexto de 1 milhão de tokens

A comunidade especula que Capybara seja o codinome do Claude 5 ou de uma nova família de modelos completamente reformulada. Outros codinomes encontrados no código incluem:

  • Fennec — provavelmente relacionado ao Opus 4.6
  • Tengu — codinome interno do próprio projeto Claude Code
  • Numbat — modelo ainda em fase de testes

Além dos codinomes, foram encontradas referências a betas de API não anunciadas: redact-thinking-2026-02-12, afk-mode-2026-01-31, advisor-tool-2026-03-01 — indicando que a Anthropic está trabalhando em capacidades que vão muito além do que está disponível publicamente.

BUDDY e KAIROS: o Tamagotchi e o assistente que nunca dorme

BUDDY — Um mascote virtual dentro do terminal

Uma das descobertas mais surpreendentes foi o BUDDY, um sistema completo de mascote virtual estilo Tamagotchi planejado como feature do Claude Code:

  • 18 espécies com raridades diferentes (de Common até Legendary)
  • 1% de chance de variante "shiny" (brilhante)
  • Stats gerados proceduralmente: DEBUGGING, PATIENCE, CHAOS, WISDOM, SNARK
  • PRNG determinístico baseado no hash do usuário — cada pessoa sempre recebe o mesmo pet
  • Personalidade gerada pelo próprio Claude ao "chocar" o ovo
  • ASCII art animado (5 linhas por 12 caracteres) em uma speech bubble ao lado do input
  • Rollout planejado: teaser de 1 a 7 de abril, versão completa em maio

O BUDDY revela um lado mais humano e lúdico do desenvolvimento do Claude Code — uma tentativa de criar vínculo emocional entre o desenvolvedor e a ferramenta.

KAIROS — Claude que nunca dorme

Muito mais impactante em termos práticos é o KAIROS, um sistema para manter o Claude Code sempre ativo em background, mesmo sem o usuário digitar nada:

  • Mantém logs diários com observações do ambiente de trabalho
  • Toma ações proativas com budget de 15 segundos de bloqueio
  • Acessa ferramentas exclusivas: SendUserFile, PushNotification, SubscribePR
  • Assina webhooks do GitHub e dispara ações automaticamente
  • "Brief mode" para respostas minimalistas no terminal

O KAIROS representa o futuro dos agentes autônomos de IA: ao invés de reagir a comandos, a IA monitora proativamente o ambiente e age quando identifica oportunidades ou problemas.

Implementação de agentes de IA para sua empresa

Automatize processos, atendimento e vendas com IA. Consultoria personalizada para o seu negócio.

Falar no WhatsApp
Leia também: Claude Code vs G4 OS: Comparativo Completo para Empresas — entenda as diferenças entre as duas plataformas de IA para programação mais populares do mercado.

ULTRAPLAN e orquestração multi-agente

ULTRAPLAN — Raciocínio de 30 minutos na nuvem

O código revelou uma feature chamada ULTRAPLAN para offload de tarefas complexas para containers na nuvem rodando o modelo Opus 4.6:

  • Até 30 minutos de "pensamento profundo" contínuo
  • UI baseada em browser para aprovação do usuário
  • Polling a cada 3 segundos para verificar o progresso
  • Resultado "teletransportado" de volta ao terminal via sentinel __ULTRAPLAN_TELEPORT_LOCAL__

Isso sugere que a Anthropic está desenvolvendo um modo onde tarefas extremamente complexas de programação — como refatoração de sistemas inteiros ou migrações de arquitetura — poderiam ser processadas em background com janelas de contexto massivas e tempo praticamente ilimitado.

Orquestração Multi-Agente

Outro sistema sofisticado encontrado no código é a coordenação de múltiplos Claude trabalhando em paralelo:

  • Modo Coordinator: spawna workers paralelos para pesquisa, síntese, implementação e verificação simultâneas
  • Scratchpad compartilhado entre workers com feature gate tengu_scratch
  • "Agent Swarms" via integração com tmux e iTerm2
  • Instrução interna explícita: "Paralelismo é seu superpoder"

Também foi revelado o sistema autoDream — um mecanismo de "consolidação de memória" onde o Claude Code literalmente "sonha" para organizar conhecimento acumulado em sessões anteriores, com 4 fases (Orient, Gather Signal, Consolidate, Prune) e limite de 25KB de memória compacta.

O que o vazamento revela sobre segurança

Do ponto de vista de segurança em IA, o vazamento tem implicações sérias em duas direções:

O que estava bem feito

  • Sistema de permissões por risco: cada ferramenta classificada como LOW, MEDIUM ou HIGH, com modos de operação (default, auto, bypass)
  • Proteção contra path traversal: normalização Unicode, detecção de backslash injection, tratamento de case-sensitivity
  • Arquivos protegidos: lista explícita de arquivos que nunca podem ser modificados (.gitconfig, .bashrc, .zshrc)
  • Arquivo de segurança dedicado: cyberRiskInstruction.ts com aviso "DO NOT MODIFY THIS INSTRUCTION WITHOUT SAFEGUARDS TEAM REVIEW"
  • Proteções de telemetria: código impede envio de código-fonte ou caminhos de arquivos do usuário

O que preocupa

  • Blueprint completo exposto: atacantes agora conhecem a lógica exata de enforcement de permissões, trust boundaries e herança de credenciais em subprocessos
  • Hooks e MCP mapeados: é possível criar repositórios maliciosos projetados para "enganar" o Claude Code a executar comandos em background
  • Detecção de frustração rudimentar: o sistema detecta palavrões via regex simples como sinal de frustração — criticado como "crude" pela comunidade
  • 5 CVEs prévias: desde 2025, cinco vulnerabilidades já haviam sido reportadas envolvendo trust-timing bugs e falhas de parsing de comandos

Recomendações para usuários do Claude Code

  1. Auditar instalações em CI runners e ambientes compartilhados
  2. Usar o modo plan (somente leitura) em repositórios desconhecidos
  3. Ativar CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1 para evitar vazamento de secrets em subprocessos
  4. Verificar se seus próprios pacotes npm não contêm .map files com npm pack

Reação da Anthropic e da comunidade

A Anthropic publicou uma nota oficial rapidamente:

"Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach."

A resposta da comunidade foi mista:

  • O post original no X atingiu quase 10 milhões de visualizações
  • O repositório mirror no GitHub ultrapassou 5.000 stars em menos de 30 minutos
  • Thread no Hacker News com centenas de comentários técnicos detalhados
  • Meme mais compartilhado: "They forgot to add 'make no mistakes' to the system prompt"
  • Desenvolvedores brasileiros no TabNews analisaram o código e compartilharam insights técnicos

A crítica mais contundente: esta foi a segunda vez que o mesmo erro aconteceu (a primeira em fevereiro de 2025), e a empresa não implementou uma verificação automática no CI/CD para prevenir a inclusão de source maps em builds públicas.

Implicações para o mercado de IA

Para concorrentes

O vazamento entregou um blueprint completo para concorrentes como Cursor, GitHub Copilot, Windsurf e outros agentes de coding sobre como construir um agente de programação de alta confiabilidade. A arquitetura de permissões, o sistema de ferramentas e os prompts de sistema são propriedade intelectual valiosa que agora está disponível publicamente.

Com o Claude Code gerando estimadamente US$ 2,5 bilhões em receita anualizada (de US$ 19 bilhões totais da Anthropic), os concorrentes têm um incentivo enorme para estudar e aprender com o código exposto.

Para o debate sobre transparência em IA

O vazamento revelou que o Claude Code em uso interno é muito mais avançado do que o produto público — dezenas de features completas (BUDDY, KAIROS, ULTRAPLAN, orquestração multi-agente) esperando para serem lançadas. Isso reacende o debate: quanto do potencial das ferramentas de IA está sendo retido artificialmente?

O Undercover Mode, especificamente, levanta questões sobre transparência em contribuições open-source. Se funcionários de empresas de IA usam LLMs para contribuir com código sem atribuição, como manter a confiança no ecossistema de código aberto?

Para desenvolvedores e empresas

Independentemente da posição sobre o vazamento, há lições práticas:

  1. Verifique seus próprios pacotes npm: rode npm pack --dry-run e inspecione o que está sendo incluído
  2. Source maps em produção são um risco: desabilite explicitamente ou adicione ao .npmignore
  3. CI/CD precisa de verificação de artefatos: um simples check que rejeita builds com .map files teria prevenido ambos os incidentes
  4. Segurança é um processo contínuo: mesmo empresas com equipes dedicadas de segurança (como a Anthropic) cometem erros quando processos básicos falham

Perguntas frequentes

O que vazou do Claude Code? +

O código-fonte completo do Claude Code foi exposto através de um arquivo source map de 59,8 MB incluído acidentalmente no pacote npm. Foram revelados cerca de 2.300 arquivos TypeScript com mais de 512.000 linhas de código, incluindo o system prompt, ferramentas internas, features não lançadas e o sistema de permissões completo.

Como o código do Claude Code vazou? +

O bundler Bun, utilizado pela Anthropic, gera source maps por padrão em builds de produção. A equipe esqueceu de adicionar *.map ao .npmignore ou de desabilitar a geração de source maps, fazendo com que o código-fonte original fosse incluído no pacote publicado no npm.

O que é o Undercover Mode do Claude Code? +

O Undercover Mode é um sistema interno que permite que funcionários da Anthropic usem o Claude Code em repositórios públicos sem revelar que estão usando IA. O modo injeta instruções no prompt para que a IA não revele informações internas e remove a atribuição "Co-Authored-By: Claude" dos commits. Foi o aspecto mais controverso do vazamento.

O que é o modelo Capybara revelado no vazamento? +

Capybara é o codinome de um modelo experimental interno da Anthropic encontrado no código, com três variantes (capybara, capybara-fast e capybara-fast[1m]). A comunidade especula que seja o codinome do Claude 5 ou de uma nova família de modelos em desenvolvimento.

Dados de usuários foram expostos? +

Não. A Anthropic confirmou que nenhum dado sensível de cliente ou credencial foi envolvido ou exposto. O vazamento afetou apenas o código-fonte da ferramenta, não dados de uso ou informações pessoais dos usuários.

Felipe Zanoni
Felipe Zanoni

Fundador da Agência Café Online. Especialista em implementação de agentes de IA para empresas, automação de processos e tráfego pago. Ajuda negócios a usar inteligência artificial de forma prática e segura.