A Anthropic vazou o código do Claude Code, assistente de codificação alimentado por IA. Durante a madrugada, um arquivo de mapa JavaScript de quase 60 MB, que seria usado para correções internas, foi incluído no registro público da empresa na npm. O TecMundo entrou em contato com a empresa, que comentou o caso.“Hoje mais cedo, uma versão do Claude Code continha código-fonte interno. Nenhum dado ou credencial sensível de clientes foi envolvido ou exposto. Trata-se de um problema de empacotamento causado por erro humano, e não uma violação de segurança. Estamos implementando medidas para evitar que isso aconteça novamente", afirmou a Anthropic em resposta ao TecMundo.Como o vazamento aconteceuO pacote npm publicado @anthropic-ai/claude-code supostamente continha um arquivo que fazia referência ao código-fonte TypeScript completo e não minimizado. O pacote podia ser baixado diretamente como um arquivo ZIP do bucket de armazenamento em nuvem R2 da Anthropic. O código-fonte original sem modificações foi preservado e replicado em um repositório público do GitHub.Todo o código ficou exposto e disponível para interação em canais oficiais da empresa.O que foi expostoO arquivo publicado vazou todo o diretório do Claude Code, com aproximadamente 1.900 arquivos e mais de 512 mil linhas de código escritas em TypeScript puro. Esse tipo de informação revela como o programa se comunica com servidores, como processa comandos e como a interface funciona.Ou seja, a divulgação afeta todos os subsistemas críticos da ferramenta e abre portas para exploração de vulnerabilidades - ou até mesmo criar ataques específicos para o Claude Code, baseado em seu funcionamento.Quais arquivos foram comprometidosOs principais arquivos confirmados no vazamento incluem 46 mil linhas de QueryEngine.ts, responsável por controlar como a IA responde, gerenciar respostas em tempo real, determinar o uso das ferramentas e controlar o uso de tokens. Também foram expostas 29 mil linhas de Tool.ts, que definem o que o Claude Code pode fazer, quais ferramentas existem e podem ser acessadas. Similarmente, aproximadamente 25 mil linhas de commands.ts foram vazados, que controlam os comandos que o usuário digita e como eles são executados.Até ferramentas que não foram lançadas, foram comprometidas pelo vazamento. Publicação abre brecha para exploração de vulnerabilidades estratégicas.Funções inéditas foram reveladas pelo vazamentoO vazamento também revelou nomes internos de funções que ainda nem foram lançadas. Entre elas estão Kairos, provavelmente ligada a timing e automação inteligente; Proactive, uma IA que age sozinha, sem necessidade de comandos frequentes; Voice Mode, que permite interação por voz; e Bridge Mode, que permite interação com outros sistemas.A falha na publicação do arquivo foi descoberta por um usuário do X, antigo Twitter, que às 5 da manhã publicou um link para download de um arquivo hospedado. Em poucas horas desenvolvedores replicaram o material no GitHub para se prevenirem caso a publicação fosse apagada.Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.