Um erro de empacotamento no npm acabou expondo o código-fonte do Claude Code, CLI da Anthropic para desenvolvimento assistido por IA. O pacote da versão 2.1.88 foi publicado com um arquivo .map que permite reconstruir o TypeScript original, e a comunidade rapidamente espelhou o conteúdo.
O vazamento surgiu quando um cli.js.map foi incluído no pacote do Claude Code. Esse tipo de arquivo é usado para depuração, mas, quando publicado em produção, pode revelar o código original. Em poucas horas, cópias do repositório apareceram em GitHub e fóruns técnicos.
.map com dezenas de megabytes, mapeando milhares de arquivos do projeto.Não há evidências de vazamento de dados de usuários ou dos modelos propriamente ditos, mas a engenharia reversa do produto ficou drasticamente mais fácil.
Para o ecossistema de segurança, o risco não é só reputacional. Um adversário com acesso ao código pode procurar falhas lógicas, criar ferramentas clonadas maliciosas ou usar detalhes internos para explorar usuários que confiam no CLI.
*.map do pacote final.Se sua organização usa ferramentas distribuídas via npm, vale revisar pipelines para garantir que .map, chaves e artefatos internos não sejam publicados. Além disso, mantenha um processo de verificação de integridade e use assinaturas/registries privados para reduzir riscos de supply chain.
Vazamentos por erro de empacotamento não são novos e costumam aparecer em projetos JavaScript/TypeScript. A lição aqui é simples: o que vai para o registry precisa ser tratado como público — sempre.
Fonte: https://www.zscaler.com/blogs/security-research/anthropic-claude-code-leak
PL 762/2026 e PL 704/2026 ao lado do PL 2338 desenham a nova regulação de…
ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…
Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…
Vera Rubin NVL72 em produção: 10x menos custo por token e 4x menos GPUs para…
OpenAI libera GPT-5.6 Sol, Terra e Luna nesta 5ª, estreia GPT-Live com voz full-duplex e…
Novo projeto MIT combina terminal xterm.js completo, dashboard visual que interpreta a saída dos comandos…