A Anthropic publicou nesta terça-feira pela manhã a versão 2.1.88 do pacote @anthropic-ai/claude-code no registro npm e incluiu inadvertidamente um arquivo de mapa de origem JavaScript de 59,8 MB. Esse arquivo, destinado apenas à depuração interna, permitiu a reconstrução do código-fonte completo em TypeScript, com aproximadamente 512 mil linhas distribuídas em cerca de 1.900 arquivos. A descoberta foi divulgada por volta das 4h23 no horário do leste dos Estados Unidos por um estagiário da Solayer Labs, que compartilhou um link direto para download. Em poucas horas, o material foi replicado em repositórios no GitHub e analisado por milhares de desenvolvedores ao redor do mundo.
O incidente ocorreu devido a um erro humano no processo de empacotamento, conforme confirmado pela própria empresa em comunicado oficial. Nenhum dado sensível de clientes, credenciais ou pesos de modelos foi exposto. A Anthropic já removeu a versão problemática e implementa correções para evitar recorrências semelhantes. O vazamento atinge um produto que responde por uma receita recorrente anualizada estimada em 2,5 bilhões de dólares, com 80% proveniente de clientes empresariais.
Detalhes técnicos revelados na arquitetura de memória
O código exposto detalha uma arquitetura de memória em três camadas projetada para combater a entropia contextual em sessões longas de agentes de IA. Em vez de armazenar todo o conteúdo no contexto, o sistema usa um índice leve chamado MEMORY.md, com ponteiros de aproximadamente 150 caracteres por linha carregados permanentemente. Os dados reais ficam distribuídos em arquivos de tópicos recuperados sob demanda, enquanto transcrições brutas são referenciadas por identificadores específicos sem recarregamento completo.
Essa abordagem inclui uma disciplina rigorosa de escrita que exige confirmação de gravação bem-sucedida antes de atualizar o índice. Desenvolvedores que examinaram o material destacam que o agente trata sua própria memória como uma sugestão, obrigando verificação contra a base de código real antes de qualquer ação. A estrutura permite manutenção de contexto limpo mesmo em projetos complexos que evoluem ao longo do tempo.
- O índice de ponteiros evita poluição contextual com tentativas falhas.
- Recuperação sob demanda reduz o volume de tokens processados em cada interação.
- Verificação obrigatória contra arquivos reais melhora a confiabilidade das respostas.
A solução representa uma evolução em relação aos métodos tradicionais de recuperação que armazenam tudo de forma indiscriminada e frequentemente levam a alucinações em sessões prolongadas.
Funcionalidade KAIROS e operação em segundo plano
O vazamento também expõe o conceito KAIROS, mencionado mais de 150 vezes no código-fonte e inspirado no termo grego para o momento oportuno. Trata-se de um modo daemon autônomo que permite ao Claude Code operar continuamente em segundo plano, mesmo quando o usuário está inativo. Nesse estado, o agente realiza consolidação de memória, combina observações dispersas, remove contradições lógicas e transforma percepções vagas em fatos consolidados.
A implementação usa um subagente bifurcado para executar tarefas de manutenção sem interferir no fluxo de raciocínio principal. Quando o usuário retorna, o contexto já está atualizado, relevante e livre de ruídos acumulados. Essa capacidade marca uma diferença em relação às ferramentas de IA predominantemente reativas disponíveis no mercado atualmente.
O recurso inclui processos de autoDream que trabalham silenciosamente para manter a integridade do agente ao longo do tempo. Desenvolvedores analisaram que a abordagem demonstra maturidade na engenharia de sistemas multiagente, com separação clara entre tarefas principais e rotinas de suporte.
Modelos internos e métricas de desempenho mencionadas
Comentários no código revelam codinomes internos como Capybara para uma variante do Claude 4.6, Fennec associado ao Opus 4.6 e Numbat ainda em fase de testes. A empresa trabalha na versão 8 do Capybara, que apresenta taxa de falsos positivos entre 29% e 30%, superior aos 16,7% observados na versão 4. Há referências a um contrapeso de assertividade para controlar refatorações excessivamente agressivas.
Essas informações oferecem parâmetros sobre o estado atual do desenvolvimento de agentes avançados. O material também discute desafios persistentes, como excesso de comentários gerados e afirmações não verificadas, que a Anthropic continua a refinar internamente.
Modo secreto e contribuições furtivas
Outro aspecto destacado é o Modo Secreto, que instrui o agente a operar de forma disfarçada em repositórios públicos. As instruções alertam explicitamente para que mensagens de commit não contenham qualquer referência interna à Anthropic ou ao modelo utilizado. O sistema impede que nomes como Tengu ou Capybara apareçam em registros públicos.
Essa funcionalidade fornece uma estrutura técnica para contribuições anônimas assistidas por IA. Organizações interessadas em desenvolvimento sem divulgação de uso de ferramentas específicas podem encontrar inspiração na lógica implementada. O aviso de sistema reforça a necessidade de manter a identidade oculta em ambientes abertos.
Recomendações para usuários e clientes corporativos
Quem instalou ou atualizou o Claude Code via npm entre as 00:21 e 03:29 UTC do dia 31 de março de 2026 deve verificar os arquivos de bloqueio do projeto, como package-lock.json, yarn.lock ou bun.lockb. A busca deve incluir versões específicas do pacote axios (1.14.1 ou 0.30.4) ou a dependência plain-crypto-js, relacionadas a um incidente simultâneo na cadeia de suprimentos npm.
A Anthropic recomenda migrar completamente para o instalador nativo executado pelo comando curl -fsSL https://claude.ai/install.sh | bash. Essa versão usa um binário independente, não depende das dependências voláteis do npm e recebe atualizações automáticas em segundo plano. Usuários que preferirem permanecer no npm devem desinstalar a versão 2.1.88 e fixar em uma edição verificada como a 2.1.86.
Adotar postura de confiança zero continua essencial. Evite executar o agente em repositórios recém-clonados sem inspeção manual do arquivo .claude/config.json e de hooks personalizados. Rotacione chaves de API pelo console de desenvolvedores e monitore o uso em busca de padrões anormais. O ambiente local exige atenção redobrada agora que detalhes internos de orquestração e hooks estão públicos.
Impacto no ecossistema de agentes de IA
O material vazado descreve o Claude Code como um sistema operacional complexo para engenharia de software, com mais de 2.500 linhas de lógica de validação em bash e estruturas de memória em camadas. A exposição inclui até um sistema chamado Buddy, um companheiro virtual com atributos de personalidade que busca aumentar a retenção de usuários.
Para o mercado, o incidente nivela informações anteriormente restritas sobre orquestração de agentes autônomos. Concorrentes podem analisar soluções concretas para problemas de memória persistente e operação em background sem necessidade de anos de pesquisa independente. A Anthropic, com receita anualizada estimada em 19 bilhões de dólares em março de 2026, enfrenta uma perda estratégica de propriedade intelectual em momento de rápida comercialização do produto.
A empresa reforça que o problema foi isolado a um erro de empacotamento e não envolveu violação externa de segurança. Medidas adicionais de controle já estão em curso para fortalecer processos de publicação de pacotes. O episódio serve como alerta para toda a indústria sobre riscos em pipelines de build e distribuição de ferramentas de IA.
Medidas preventivas adicionais sugeridas pela comunidade
Desenvolvedores que analisaram o código sugerem auditoria completa de dependências npm em projetos que utilizam Claude Code. A migração para o instalador nativo reduz a superfície de ataque relacionada a pacotes de terceiros. Monitoramento contínuo de repositórios clonados e verificação de hashes de arquivos de configuração ajudam a manter a integridade do ambiente.
A Anthropic planeja liberar a versão 2.1.89 ou superior com patches de segurança incorporados. Usuários corporativos devem priorizar ambientes isolados para testes até confirmação de estabilidade da nova release. A combinação de instalação nativa, rotação periódica de chaves e inspeção manual de configurações forma a defesa recomendada no momento atual.