O vazamento do Claude Code: Quando pontos de controle indefinidos se tornam riscos de negócio

Em 31 de março, o código-fonte do Claude Code — a ferramenta de terminal de IA principal da Anthropic — foi publicado acidentalmente no npm. Mais de 512.000 linhas de TypeScript original foram reconstruídas pela comunidade em questão de horas. O que torna este incidente notável não é a escala — é o vazamento de código-fonte mais significativo da indústria de IA, expondo o produto principal de sua empresa líder.

A cadeia de eventos

No final de 2025, a Anthropic adquiriu o Bun, um runtime JavaScript de alto desempenho, e o adotou como motor por trás do Claude Code. Em 11 de março de 2026, um bug foi reportado no sistema de build do Bun — a issue #28001. O bug fazia com que os source maps fossem incluídos nos builds de produção mesmo quando configurados explicitamente para serem excluídos.

Vinte dias depois, a versão 2.1.88 do Claude Code foi publicada no npm com o arquivo cli.js.map acidentalmente incluído. Esse único arquivo continha tudo o necessário para reconstruir o código-fonte original em TypeScript completamente legível.

Um fato lamentável para a Anthropic

A Anthropic é nosso provedor de LLM de confiança — e vê-los afetados por algo assim é um lembrete de que nenhuma empresa é imune. Foram vítimas de um bug em sua própria ferramenta. O Bun — que eles mesmos possuíam e mantinham — tinha um defeito documentado que afetava diretamente seu pipeline de produção. O bug era conhecido. Estava reportado. Simplesmente não foi tratado como um ponto de controle crítico.

Uma empresa que sabe reagir — mas falhou nesta

A Anthropic não é estranha a proteger seus ativos. Quando detectaram a destilação não autorizada de seus modelos LLM, responderam implementando técnicas anti-destilação — incluindo a injeção de definições de ferramentas falsas nas respostas da API para envenenar os dados de treinamento de concorrentes que tentavam copiar sua lógica. Identificaram o ponto de controle crítico e agiram. Mas com o Claude Code, um bug reportado em sua própria ferramenta de build 20 dias antes do vazamento não foi tratado com a mesma urgência. O padrão não é que a Anthropic não saiba definir pontos de controle críticos — é que mesmo empresas que o fazem podem falhar quando não estão mapeados sistematicamente.

O que isso nos ensina sobre implementação de IA

Na Flintworks, vemos isso como um caso de estudo do que nosso BAAF® Framework aborda em sua segunda camada: Conectores Digitais (L2). Essa camada mapeia cada ativo digital do negócio — APIs, bancos de dados, canais de comunicação, sistemas de terceiros, pipelines de desenvolvimento — e define quais são pontos de controle críticos.

No caso da Anthropic, o conector não classificado como crítico foi um sistema CI/CD — seu pipeline de compilação e distribuição. No caso de uma empresa que implementa sistemas agênticos de IA, os conectores críticos são variados: as APIs dos provedores LLM, os canais de comunicação com clientes, os bancos de dados de contexto, os webhooks que conectam workflows. O princípio é o mesmo: se você não define quais são críticos, qualquer um deles pode se tornar o ponto de falha que compromete tudo.

O atributo central de L2 é Connection: a IA mantém sua integridade quando os conectores operam corretamente. Para a Anthropic, falhou um conector do seu pipeline de desenvolvimento. Para o seu negócio, pode falhar um conector do seu pipeline de atendimento ao cliente.

A lição para os negócios

Se uma das empresas de IA mais avançadas do mundo pode ignorar um ponto de controle crítico em seu próprio tooling, a pergunta para todo negócio que implementa IA é clara: você mapeou suas dependências? Sabe quais são críticas?

A implementação de IA não se trata apenas de escolher o modelo certo ou construir o agente adequado. Trata-se de entender cada elo da cadeia — do seu modelo de negócio aos seus ativos digitais e canais de atendimento ao cliente — e saber exatamente onde estão os riscos.

"O vazamento do Claude Code é um exemplo claro do que acontece quando os pontos de controle críticos não estão definidos. A Anthropic sabe reagir — provou isso com suas técnicas anti-destilação em seus modelos LLM. Mas um bug reportado 20 dias antes em sua própria ferramenta de build não foi tratado com a mesma urgência. Em nossa metodologia BAAF®, a camada de Conectores Digitais busca identificar dependências críticas para o negócio, para que nada passe despercebido." — Luis Maroto, Founder

Quer entender como o BAAF® Framework ajuda a mapear e proteger sua infraestrutura de IA? Conheça nossa metodologia ou entre em contato para iniciar a conversa.