“Hoje cedo, uma versão do Claude Code incluía algum código-fonte interno. Nenhum dado ou credencial sensível de clientes foi envolvido ou exposto”, disse a Anthropic em um comunicado enviado por e-mail na noite de terça-feira. “Tratou-se de um problema de empacotamento da versão causado por erro humano, não uma violação de segurança.”
O vazamento acidental marcou a segunda falha de segurança da Anthropic em questão de dias, comprometendo aproximadamente 1.900 arquivos e 512.000 linhas de código relacionadas ao Claude Code — uma ferramenta de codificação autônoma que roda diretamente em ambientes de desenvolvimento.
Na semana passada, a Fortune publicou que a Anthropic vinha armazenando milhares de arquivos internos em um sistema de acesso público, incluindo um rascunho de postagem em um blog que detalhava um modelo futuro conhecido internamente como “Mythos” e “Capybara”.
As exposições não poderiam ter ocorrido em pior momento para a Anthropic, que foi declarada pelo governo americano no início deste ano como um risco para a cadeia de suprimentos e está combatendo a designação no tribunal. A empresa alertou que a rotulagem poderia lhe custar bilhões em perda de receita.
O mais recente vazamento acidental envolvendo o Claude Code veio à tona inicialmente em uma publicação na plataforma de mídia social X, que supostamente compartilhava um link para o código e obteve mais de 30 milhões de visualizações.
Vulnerabilidades de segurança
O vazamento gerou milhares de publicações online de pessoas que afirmam ter analisado o código minuciosamente. Algumas alegam ter descoberto recursos ainda não lançados, bem como peculiaridades no sistema Claude Code existente.
Diversos especialistas expressaram preocupação com possíveis vulnerabilidades de segurança. “Os invasores agora podem estudar e testar exatamente como os dados fluem pelo pipeline de gerenciamento de contexto em quatro estágios do Claude Code e criar payloads maliciosos projetados para sobreviver à compactação, persistindo efetivamente como uma porta dos fundos ao longo de uma sessão de duração arbitrária”, afirmou a empresa de cibersegurança de IA Straiker em um blog.
Por sua vez, a Anthropic afirmou que está “implementando medidas para evitar que isso aconteça novamente”.
Em fevereiro, a Anthropic recebeu um aporte de US$ 30 bilhões em uma rodada de financiamento massiva que a avaliou em US$ 380 bilhões, incluindo o dinheiro arrecadado, praticamente dobrando sua avaliação anterior. Naquele mesmo mês, a empresa ganhou destaque ao lançar uma série de produtos que impulsionaram as ações de companhias de diversos setores, desde serviços jurídicos até software e cibersegurança mergulhadas em receio de perturbações generalizadas.
