Os momentos-chave
No dia 31 de março de 2026, a Anthropic confirmou um vazamento significativo do código-fonte do seu assistente de programação, o Claude Code. O incidente ocorreu devido a um erro humano durante o empacotamento de uma versão do software, resultando na exposição de aproximadamente 1.900 arquivos e mais de 512 mil linhas de código escritas em TypeScript.
O arquivo de mapa JavaScript, que tinha um tamanho de 60 MB, foi incluído no pacote publicado no npm, permitindo o acesso não autorizado ao código-fonte da ferramenta. Entre os principais arquivos comprometidos, destacam-se 46 mil linhas de QueryEngine.ts, 29 mil linhas de Tool.ts e 25 mil linhas de commands.ts.
A Anthropic, em resposta ao incidente, afirmou que nenhum dado ou credencial sensível de clientes foi exposto no vazamento. A empresa declarou: “Hoje mais cedo, uma versão do Claude Code continha código-fonte interno. Nenhum dado ou credencial sensível de clientes foi envolvido ou exposto.” Além disso, a companhia classificou a investigação sobre o consumo excessivo de tokens como prioridade máxima.
O vazamento também revelou nomes internos de funções ainda não lançadas, como Kairos, Proactive, Voice Mode e Bridge Mode. Usuários relataram um consumo excessivo de tokens e esgotamento prematuro das cotas de uso do Claude Code, com um percentual de 7% de usuários afetados durante horários de pico. A documentação oficial indica que o cache de prompts possui duração padrão de apenas cinco minutos, o que tem gerado frustração entre os desenvolvedores que utilizam a ferramenta.
O problema se tornou evidente em fóruns como Discord e Reddit, onde assinantes de planos pagos relataram restrições severas. A falta de transparência nos limites de uso tem sido uma preocupação crescente entre os usuários, que buscam entender melhor as condições de utilização do serviço.
Além disso, a replicação de arquivos desse tipo é prática comum em incidentes de exposição, já que garante a preservação do conteúdo mesmo após a remoção do material original. A Anthropic também reiterou que o episódio não envolveu violação de segurança nem exposição de dados ou credenciais de clientes, conforme mencionado em uma declaração oficial.
Detalhes permanecem não confirmados sobre as medidas que a Anthropic tomará para evitar que incidentes semelhantes ocorram no futuro. A empresa enfrenta agora o desafio de restaurar a confiança dos usuários e garantir a segurança de suas ferramentas de programação.
