A Anthropic parece ter acidentalmente revelado ao público o funcionamento interno de um de seus produtos de IA mais populares e lucrativos, o agente de IA Claude Code.
Um arquivo de mapa de origem JavaScript de 59,8 MB (.map), destinado à depuração interna, foi incluído inadvertidamente na versão 2.1.88 do @anthropic-ai/claude-code pacote no registro público npm lançado no início desta manhã.
Às 4h23 horário do leste dos EUA, Chaofan Shou (@Fried_rice)estagiário do Solayer Labs, transmitiu a descoberta no X (antigo Twitter). A postagem, que incluía um link direto para download para um arquivo hospedado, funcionou como um sinalizador digital. Em poucas horas, a base de código TypeScript de aproximadamente 512.000 linhas foi espelhada no GitHub e analisada por milhares de desenvolvedores.
Para a Anthropic, uma empresa que atualmente atravessa uma ascensão meteórica com um relatou taxa de receita anualizada de US$ 19 bilhões em março de 2026, o vazamento é mais do que um lapso de segurança; é uma hemorragia estratégica de propriedade intelectual. O momento é particularmente crítico dada a velocidade comercial do produto.
Os dados de mercado indicam que Claude Code sozinho conseguiu uma receita recorrente anualizada (ARR) de US$ 2,5 bilhões, um número que mais que dobrou desde o início do ano.
Com a adoção empresarial representando 80% de sua receita, o vazamento fornece aos concorrentes – desde gigantes estabelecidos até rivais ágeis como o Cursor – um plano literal de como construir um agente de IA de alta agência, confiável e comercialmente viável.
Entramos em contato com a Anthropic para obter uma declaração oficial sobre o vazamento e atualizaremos quando recebermos resposta.
A anatomia da memória agente
A conclusão mais significativa para os concorrentes está em como a Anthropic resolveu a “entropia de contexto” – a tendência dos agentes de IA de ficarem confusos ou alucinantes à medida que sessões de longa duração crescem em complexidade.
A fonte vazada revela um sofisticado, arquitetura de memória de três camadas que se afasta da recuperação tradicional de “armazenar tudo”.
Conforme analisado por desenvolvedores como @himanshustwtsa arquitetura utiliza um sistema de “Memória Self-Healing”.
Em sua essência está MEMORY.mdum índice leve de ponteiros (cerca de 150 caracteres por linha) que é carregado perpetuamente no contexto. Este índice não armazena dados; ele armazena locais.
O conhecimento real do projeto é distribuído em “arquivos de tópico” obtidos sob demanda, enquanto as transcrições brutas nunca são totalmente lidas no contexto, mas apenas “grep’d” para identificadores específicos.
Esta “Disciplina Estrita de Gravação” – onde o agente deve atualizar seu índice somente após uma gravação de arquivo bem-sucedida – evita que o modelo polua seu contexto com tentativas fracassadas.
Para os concorrentes, o “projeto” é claro: construir uma memória cética. O código confirma que os agentes da Anthropic são instruídos a tratar sua própria memória como uma “dica”, exigindo que o modelo verifique os fatos em relação à base de código real antes de prosseguir.
KAIROS e o daemon autônomo
O vazamento também puxa a cortina “KAIRÓS“, o conceito da Grécia Antiga de “na hora certa”, uma bandeira mencionada mais de 150 vezes na fonte. KAIROS representa uma mudança fundamental na experiência do usuário: um modo daemon autônomo.
Embora as ferramentas atuais de IA sejam amplamente reativas, o KAIROS permite que Claude Code opere como um agente de segundo plano sempre ativo. Ele lida com sessões em segundo plano e emprega um processo chamado autoDream.
Neste modo, o agente realiza a “consolidação de memória” enquanto o usuário está ocioso. O autoDream a lógica mescla observações díspares, remove contradições lógicas e converte insights vagos em fatos absolutos.
Essa manutenção em segundo plano garante que, quando o usuário retornar, o contexto do agente esteja limpo e altamente relevante.
A implementação de um subagente bifurcado para executar essas tarefas revela uma abordagem de engenharia madura para evitar que a “linha de pensamento” do agente principal seja corrompida por suas próprias rotinas de manutenção.
Modelos internos e métricas de desempenho não divulgados
O código-fonte fornece uma rara visão do roteiro do modelo interno da Anthropic e das lutas do desenvolvimento de fronteira.
O vazamento confirma que Capivara é o codinome interno de uma variante Claude 4.6, com Fennec mapeado para Opus 4.6 e o não lançado Numbat ainda em testes.
Comentários internos revelam que a Anthropic já está iterando no Capybara v8, mas o modelo ainda enfrenta obstáculos significativos. O código indica uma taxa de reclamações falsas de 29-30% na v8, uma regressão real em comparação com a taxa de 16,7% observada na v4.
Os desenvolvedores também notaram um “contrapeso de assertividade” projetado para evitar que o modelo se torne muito agressivo em seus refatoradores.
Para os concorrentes, essas métricas são inestimáveis; eles fornecem uma referência do “teto” para o desempenho atual dos agentes e destacam as fraquezas específicas (comentários excessivos, alegações falsas) que a Anthropic ainda está lutando para resolver.
Cláudio “disfarçado”
Talvez o detalhe técnico mais discutido seja o “Modo secreto.” Este recurso revela que a Anthropic usa o Claude Code para contribuições “furtivas” para repositórios públicos de código aberto.
O prompt do sistema descoberto no vazamento avisa explicitamente o modelo: “Você está operando UNDERCOVER… Suas mensagens de commit… NÃO DEVEM conter NENHUMA informação interna da Antrópico. Não estrague seu disfarce.”
Embora a Anthropic possa usar isso para “comida de cachorro” interna, ela fornece uma estrutura técnica para qualquer organização que deseje usar agentes de IA para trabalho voltado ao público sem divulgação.
A lógica garante que nenhum nome de modelo (como “Tengu” ou “Capivara”) ou atribuições de IA vazem para logs git públicos – um recurso que os concorrentes empresariais provavelmente verão como um recurso obrigatório para seus próprios clientes corporativos que valorizam o anonimato no desenvolvimento assistido por IA.
As consequências apenas começaram
O “projeto” já foi divulgado e revela que Claude Code não é apenas um invólucro em torno de um modelo de linguagem grande, mas um sistema operacional complexo e multithread para engenharia de software.
Até mesmo o sistema oculto “Buddy” – um animal de estimação terminal estilo Tamagotchi com estatísticas como CHAOS e SNARK—mostra que a Anthropic está construindo “personalidade” no produto para aumentar a adesão do usuário.
Para o mercado mais amplo de IA, o vazamento efetivamente nivela o campo de atuação para a orquestração de agentes.
Os concorrentes agora podem estudar as mais de 2.500 linhas de lógica de validação bash da Anthropic e suas estruturas de memória em camadas para construir agentes “semelhantes a Claude” com uma fração do orçamento de P&D.
À medida que a “Capivara” saiu do laboratório, a corrida para construir a próxima geração de agentes autónomos acaba de receber um impulso não planeado de 2,5 mil milhões de dólares em inteligência colectiva.
O que os usuários do Claude Code e clientes corporativos devem fazer agora sobre o suposto vazamento
Embora o vazamento do código-fonte em si seja um grande golpe para a propriedade intelectual da Anthropic, ele representa um risco de segurança específico e elevado para você como usuário.
Ao expor os “projetos” do Código Claude, a Anthropic entregou um roteiro para pesquisadores e malfeitores que agora estão procurando ativamente maneiras de contornar as barreiras de segurança e os avisos de permissão.
Como o vazamento revelou a lógica de orquestração exata para servidores Hooks e MCP, os invasores agora podem projetar repositórios maliciosos especificamente adaptados para “enganar” Claude Code para executar comandos em segundo plano ou exfiltrar dados antes mesmo de você ver um prompt de confiança.
O perigo mais imediato, no entanto, é um ataque simultâneo e separado à cadeia de abastecimento do axios pacote npm, que ocorreu horas antes do vazamento.
Se você instalou ou atualizou o Claude Code via npm em 31 de março de 2026, entre 00h21 e 03h29 UTC, pode ter inadvertidamente instalado uma versão maliciosa do axios (1.14.1 ou 0.30.4) que contém um Trojan de acesso remoto (RAT). Você deve pesquisar imediatamente os arquivos de bloqueio do seu projeto (package-lock.json, yarn.lockou bun.lockb) para essas versões específicas ou a dependência plain-crypto-js. Se encontrado, trate a máquina host como totalmente comprometida, alterne todos os segredos e execute uma reinstalação limpa do sistema operacional.
Para mitigar riscos futuros, você deve migrar totalmente da instalação baseada em npm. A Anthropic designou o Instalador Nativo (curl -fsSL | bash) como o método recomendado porque usa um binário independente que não depende da cadeia de dependência volátil do npm.
A versão nativa também suporta atualizações automáticas em segundo plano, garantindo que você receba patches de segurança (provavelmente versão 2.1.89 ou superior) no momento em que forem lançados. Se você precisar permanecer no npm, certifique-se de ter desinstalado a versão vazada 2.1.88 e fixado sua instalação em uma versão segura verificada como 2.1.86.
Por fim, adote uma postura de confiança zero ao usar o Claude Code em ambientes desconhecidos. Evite executar o agente em repositórios recém-clonados ou não confiáveis até que você tenha inspecionado manualmente o .claude/config.json e quaisquer ganchos personalizados.
Como medida de defesa profunda, alterne suas chaves de API Anthropic por meio do console do desenvolvedor e monitore seu uso em busca de quaisquer anomalias. Embora os seus dados armazenados na nuvem permaneçam seguros, a vulnerabilidade do seu ambiente local aumentou agora que as defesas internas do agente são de conhecimento público; permanecer no caminho de atualização oficial instalado nativamente é sua melhor defesa.
