Código-fonte do Claude Code vaza no npm e chega ao GitHub
4 minutos de leitura
O código-fonte do Claude Code, a ferramenta de programação assistida por IA da Anthropic, foi exposto acidentalmente no npm, o gerenciador de pacotes do ecossistema JavaScript, em 31 de março de 2026.
Um bug de configuração fez com que arquivos internos fossem publicados junto com uma atualização da ferramenta. Em horas, o repositório chegou ao GitHub com milhares de forks antes de ser removido a pedido da empresa.
O que aconteceu
Um desenvolvedor da Anthropic esqueceu de incluir os arquivos .map (source maps) no .npmignore ao subir uma atualização do Claude Code.
Com isso, o mapeamento completo do código-fonte da ferramenta foi publicado junto com o pacote no npm, tornando acessível para qualquer pessoa que fizesse o download.
Rapidamente, alguém identificou o conteúdo, baixou os arquivos e publicou um repositório no GitHub. O repositório acumulou entre 7.000 e 10.000 estrelas e forks nas primeiras horas. A Anthropic acionou a Microsoft (dona do GitHub) para remover o repositório por violação de direitos autorais.
O GitHub removeu os arquivos, mas a comunidade já havia convertido o código, originalmente em TypeScript, para Python e Rust, e publicado versões em novos repositórios abertos.
Como a proteção de direitos autorais só cobre o texto original e não versões reescritas em outra linguagem, esse conteúdo permanece disponível.
Além do código da ferramenta em si, o vazamento expôs:
- Um slot preparado para o modelo Opus 4.7, ainda sem lançamento oficial
- Referências a um modo autônomo chamado "Cairos", que permitiria ao Claude Code operar de forma mais independente, no estilo de um agente de IA
Separadamente, cerca de 3.000 arquivos internos da Anthropic também vazaram, incluindo referências a um modelo chamado "Mythos", descrito como superior ao atual Opus em capacidade.
Por que isso importa para quem trabalha com tecnologia
O Claude Code é considerado um dos diferenciais competitivos da Anthropic no segmento de ferramentas de desenvolvimento assistido por IA, ao lado do Cursor e do Codex, da OpenAI. O que estava protegido como propriedade intelectual agora é, na prática, público.
Para devs e engenheiros de software, o episódio tem duas camadas:
- Técnica: O bug do source map no npm não era novo, era um problema conhecido há um ou dois meses. O caso reforça a importância de revisar configurações de .npmignore antes de qualquer publicação de pacote, especialmente em projetos com código proprietário.
- De mercado: Concorrentes como Cursor e OpenAI podem, legalmente, estudar as versões reescritas do código para entender as decisões de arquitetura que fazem o Claude Code se destacar.
Para quem trabalha com segurança da informação e DevOps, o caso é um exemplo claro de como uma má configuração (e não um ataque sofisticado) pode expor ativos críticos de uma empresa.
Quer entender melhor como funcionam ferramentas como o Claude Code na prática?
O caso do Claude Code reforça uma mudança importante no mercado: ferramentas de IA deixaram de ser apenas interfaces inteligentes e passaram a depender profundamente de boas práticas de engenharia de software, DevOps e segurança.
Se você quer aprender a usar IA no seu fluxo de desenvolvimento, desde engenharia de prompts até agentes autônomos, a Alura tem trilhas completas de IA aplicada, engenharia de agentes e desenvolvimento com LLMs para quem já programa e quer ir além.
Se quiser se aprofundar nesse universo, estude conteúdos sobre IA aplicada ao desenvolvimento, engenharia de prompts e criação de aplicações com modelos generativos.
Um bom ponto de partida é a carreira de especialista em IA, que mostra como integrar inteligência artificial ao fluxo de desenvolvimento moderno e explorar ferramentas usadas no mercado atual.
