Voltar para o Blog
Notebook com código na tela representando desenvolvimento e segurança
Tecnologia e IA

Anthropic corre após vazamento do Claude, GitHub remove milhares

O vazamento do código do Claude Code acendeu alertas sobre segurança de supply chain, governança de IA e direitos autorais, após milhares de remoções de repositórios no GitHub em poucas horas.

Danilo Gato

Danilo Gato

Autor

2 de abril de 2026
10 min de leitura

Introdução

O vazamento do código do Claude Code, palavra-chave deste artigo, ocorreu em 31 de março de 2026, quando um source map foi publicado por engano no pacote do npm, permitindo reconstruir mais de 512 mil linhas de TypeScript do agente de código da Anthropic. A empresa confirmou que se tratou de erro humano e que não houve exposição de dados de clientes. Em seguida, milhares de repositórios foram alvo de remoções no GitHub, parte delas revertidas após a Anthropic ajustar o escopo do pedido de retirada.

A importância do caso vai além do noticiário de tecnologia. O vazamento revelou escolhas de arquitetura, mecanismos de orquestração e recursos em desenvolvimento de um dos agentes de código mais avançados do mercado. Ao mesmo tempo, expôs como uma falha banal de empacotamento pode escalar para uma crise pública de propriedade intelectual e segurança de software. O episódio também provocou reação política em Washington no dia 2 de abril de 2026, com questionamentos formais à Anthropic.

Este artigo reúne os fatos confirmados, analisa implicações técnicas e legais, e traz recomendações práticas para times que usam agentes de IA em ambientes corporativos.

O que aconteceu, quando e por quê

Relatos técnicos e a própria Anthropic apontam que a versão 2.1.88 do pacote @anthropic-ai/claude-code incluiu por engano um arquivo de source map, com cerca de 59,8 MB, que mapeava o bundle minificado para o código TypeScript legível. O mapa fazia referência a um arquivo hospedado em infraestrutura da Anthropic, permitindo reconstruir aproximadamente 1.900 arquivos totalizando mais de 512 mil linhas. O conteúdo se espalhou rapidamente por repositórios espelho no GitHub.

Em resposta, o GitHub começou a processar notificações de DMCA enviadas pela Anthropic. Registros públicos indicam que um aviso inicial muito amplo acabou bloqueando cerca de 8.100 repositórios, incluindo forks legítimos do repositório público do próprio Claude Code, antes de a empresa recuar e limitar a remoção a um conjunto bem menor de alvos diretamente relacionados ao material vazado. O head do Claude Code, Boris Cherny, classificou o excesso como acidental.

A Anthropic declarou que não houve exposição de credenciais nem de dados de clientes. Mesmo assim, o impacto estratégico é significativo, já que arquiteturas internas, fluxos de permissão, orquestração de agentes e parte do roadmap ficaram explícitos a concorrentes e à comunidade.

O que o código vazado revela sobre agentes de IA em produção

Análises independentes convergem em pontos centrais. Primeiro, a maturidade da orquestração de LLMs e do design multiagente, com um agente coordenador capaz de invocar subagentes para tarefas específicas, reforça que agentes úteis no mundo real exigem infraestrutura robusta de ferramentas, autorização e auditoria. Segundo, módulos de memória, planejamento e integração com fluxos OAuth e repositórios de código mostram um foco claro em colaboração contínua do agente com o desenvolvedor. Terceiro, vários recursos estavam protegidos por feature flags, inclusive modos de operação persistente.

Relatos também mencionam nomes de funcionalidades experimentais e sistemas de prevenção de vazamento de termos internos, detalhes que ilustram o quanto fornecedores de IA já tratam risco reputacional e segurança por design. Para a engenharia de software, a mensagem é direta, construir agentes úteis requer menos “mágica de modelo” e mais engenharia de produto, controle de permissões e telemetria.

![Laptop com código em tela, representando engenharia e build]

As remoções em massa no GitHub e o que aprender com o DMCA

O episódio das remoções no GitHub escancarou os trade-offs entre proteger propriedade intelectual e evitar danos colaterais ao ecossistema open source. O primeiro aviso removeu milhares de repositórios, gerando forte reação de desenvolvedores, e foi depois ajustado para focar nos mirrors contendo especificamente o material interno. Essa sequência é uma aula prática sobre a necessidade de precisão nos pedidos de retirada.

Para equipes jurídicas e de DevRel, três aprendizados se destacam, 1, a linguagem do pedido de retirada deve ser específica, incluindo hashes, caminhos de arquivo e indicadores técnicos que reduzam o raio de impacto. 2, um processo de revisão cruzada entre jurídico e engenharia ajuda a evitar overreach que pode danificar reputação. 3, é útil publicar rapidamente um resumo de escopo e uma retratação pública se algo sair do esperado, como foi feito neste caso.

![Marca do GitHub, sinalizando a etapa de remoções]

Segurança de supply chain, como uma linha no build muda tudo

A causa raiz imediata foi prosaica, um passo manual no deploy que deveria ter sido automatizado permitiu que um source map de produção chegasse ao pacote público. Incidentes assim são evitáveis com disciplina de build e checagens automáticas. O criador do Claude Code reconheceu a necessidade de automatizar o ponto falho. Para qualquer time com bibliotecas publicadas, a lista abaixo é o básico do básico.

  • Congelar o “modo produção” do bundler, garantindo que não gere source maps ou depure símbolos nos artefatos distribuídos. Conferir flags e presets do pipeline de empacotamento.
  • Usar files no package.json ou .npmignore com testes automatizados que validem a exclusão de mapas, exemplos internos e scripts sensíveis antes de publicar.
  • Incluir um job de CI que baixe o artefato final e rode um scanner de conteúdo proibido, procurando .map, chaves, URLs privadas e caminhos de build.
  • Rodar um “canary publish” em um registro privado, com revisão por duas pessoas antes do npm publish público. Se algo escapar, usar npm unpublish rapidamente e invalidar caches de CDN.
  • Instrumentar SBOM e assinaturas, atrelando cada release a um commit e pipeline reprodutível. Assim, auditorias conseguem reconstituir exatamente o que foi distribuído.

Esse caso também coincidiu, na mesma janela de tempo, com alertas sobre um ataque à cadeia de suprimentos envolvendo pacotes de terceiros, lembrando que incidentes distintos podem se sobrepor no relógio do usuário final. Isso exige comunicação clara para separar causas e efeitos.

Impactos regulatórios e reputacionais, agora é assunto de política pública

A visibilidade do caso chamou atenção em Washington. Em 2 de abril de 2026, o deputado Josh Gottheimer enviou questionamentos à Anthropic sobre riscos, capacidade de uso malicioso e resiliência a novos ataques. Quando uma discussão técnica chega ao Congresso, gestores precisam se preparar para responder com governança, métricas e planos de mitigação.

Em paralelo, veículos apontaram que esta foi a segunda exposição relevante em poucos dias, após a revelação acidental de um modelo em desenvolvimento apelidado de “Mythos”. Em termos de confiança, a repetição de erros amplifica a narrativa de falhas sistêmicas, mesmo quando o impacto técnico direto não envolve dados de clientes. A consequência é pressão por controles de mudança mais rígidos e por auditorias externas.

O que times de engenharia e segurança devem fazer hoje

Equipes que usam agentes de código precisam responder em duas frentes. Primeiro, endurecer o pipeline de distribuição de seus próprios pacotes, evitando o “acidente banal” que vira crise. Segundo, revisar permissões, telemetria e controles de agentes que já operam nos ambientes internos.

Checklist prático, inspirado nas lições do vazamento do Claude Code,

  • Revisar integrações com VCS, exigir escopos mínimos em tokens, auditar commit signing e hooks que permitem automação do agente.
  • Ativar consentimento explícito para ações destrutivas do agente, como git push --force, rodar migrations ou abrir PRs em repos críticos.
  • Configurar trilhas de auditoria para cada ação do agente, com correlação a tickets e aprovações humanas.
  • Segregar ambientes, agentes têm chaves e permissões diferentes para dev, stage e prod.
  • Implementar política de “mínimo necessário” para ferramentas e MCPs, revogando integrações não usadas.
  • Incluir testes de “segurança de comportamento” do agente, simulando tentativas de exfiltração de segredos e abuso de ferramentas.
  • Realizar tabletop exercises, que cubram, publicação acidental, vazamento de artefatos e pedidos de retirada em plataformas públicas.
  • Documentar o plano de comunicação, interno e externo, incluindo como contatar plataformas e como publicar retratações.

Essas medidas são coerentes com a natureza do vazamento, um erro de empacotamento, e com o tipo de informação exposta, arquitetura, flags e integrações. O episódio reforça a tese de que a segurança de agentes requer tanto práticas de AppSec quanto de MLOps.

Métricas que importam e por que “linhas de código” não contam a história toda

Os números do caso chamam atenção, 512 mil linhas, mais de 1.900 arquivos, milhares de repositórios afetados. São indicadores de escala, mas a interpretação relevante para gestão de risco é outra, quais módulos críticos vazaram, quanta lógica de autorização ficou pública, quais dependências e endpoints internos foram expostos. Em engenharia, “linhas de código” explicam pouco sobre a superfície de ataque, já a transparência sobre arquitetura e controles é o que orienta mitigação.

Do ponto de vista de produto, o vazamento mostra que a vantagem competitiva em agentes de código vem do sistema, orquestração, memória, ferramentas e UX, não apenas do modelo de linguagem. Isso sugere que concorrentes podem acelerar aprendizagem, mas reproduzir qualidade de produção ainda exige disciplina operacional que não se copia de um dia para o outro.

Casos e sinais do mercado, reação em cadeia

A velocidade com que a comunidade replicou o agente a partir do material vazado foi notável, com repositórios espelho ganhando estrelas e forks em ritmo acelerado, inclusive surgindo reimplementações parciais em outras linguagens. Isso evidencia o apetite por agentes de desenvolvimento e a capacidade de engenharia aberta de absorver designs de referência.

Outra lição foi a volatilidade da narrativa pública, a combinação de investigações técnicas, posts de engenheiros e matérias com foco em negócios criou um ciclo de feedback que força empresas a comunicarem rápido, com dados e linha do tempo clara. Quando as informações são fragmentadas, rumores ganham espaço e decisões técnicas como DMCA podem parecer punitivas mesmo quando visam restringir apenas material proprietário.

Reflexões e insights

Como profissional que constrói e opera produtos de IA, a leitura é simples, não basta treinar bons modelos, é preciso construir bons sistemas ao redor deles. O Claude Code não virou referência só por acertos de LLM, virou por engenharia cuidadosa de workflow, memória, ferramentas e confiança do usuário. O vazamento, por mais indesejado que seja para a Anthropic, lembrou a todos que excelência de agente significa excelência de plataforma.

Outro ponto, governança importa. Em 48 horas, a discussão atravessou engenharia, jurídico, produto, comunidade e, por fim, política. Times de IA que crescem rápido precisam de rituais de mudança formais, automação de build e engenharia de confiança em tempo real. A alternativa é gerir crises num ciclo contínuo.

Conclusão

O caso do vazamento do código do Claude Code reúne todos os ingredientes de uma crise moderna de software, uma falha pequena no empacotamento, efeitos virais em minutos, medidas legais com impacto colateral e escrutínio público intenso. A boa notícia é que os contornos técnicos são claros o bastante para orientar ações imediatas de prevenção e resposta, do hardening do pipeline a processos mais rigorosos de pedidos de retirada.

O episódio deixa um lembrete valioso, agentes de código bem-sucedidos são, acima de tudo, engenharia de sistemas em produção. Quem elevar disciplina de build, segurança de supply chain e governança de produto ganhará terreno nos próximos ciclos, com ou sem vazamentos nos bastidores. E quem aprende com incidentes alheios normalmente chega mais preparado ao próximo lançamento.

Tags

AnthropicClaudeAgentes de IADevSecOpsOpen Source