Vazamento do Código-Fonte do Claude Revela Modo Anti-Destilação, Modo Disfarçado e Detecção de Frustração

A Anthropic enviou acidentalmente um arquivo .map com seu pacote npm do Claude Code contendo o código-fonte completo e legível da ferramenta CLI. O pacote foi removido desde então, mas o código foi amplamente espelhado e analisado no Hacker News. Isso segue outro vazamento recente da especificação do modelo da Anthropic.

Anti-destilação: injetando ferramentas falsas para envenenar imitadores

Em claude.ts (linhas 301-313), há uma flag chamada ANTI_DISTILLATION_CC. Quando ativada, o Claude Code envia anti_distillation: ['fake_tools'] em suas requisições de API, instruindo o servidor a injetar silenciosamente definições de ferramentas isca no prompt do sistema. Isso é projetado para poluir dados de treinamento se alguém estiver gravando tráfego de API para treinar modelos concorrentes.

A ativação requer quatro condições: a flag de tempo de compilação ANTI_DISTILLATION_CC, o ponto de entrada CLI, um provedor de API próprio e a flag do GrowthBook tengu_anti_distill_fake_tool_injection retornando verdadeiro. Um proxy MITM que remove o campo anti_distillation dos corpos das requisições contornaria isso completamente. Definir a variável de ambiente CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS para um valor verdadeiro desativa todo o mecanismo.

Um segundo mecanismo anti-destilação em betas.ts (linhas 279-298) implementa sumarização de texto do conector no lado do servidor. Quando ativado, a API armazena em buffer o texto do assistente entre chamadas de ferramentas, resume-o e retorna o resumo com uma assinatura criptográfica. Isso significa que gravações de tráfego de API capturariam apenas resumos, não cadeias completas de raciocínio.

Modo secreto: IA que esconde sua IA

O arquivo undercover.ts implementa um modo que remove todos os vestígios de elementos internos da Anthropic quando o Claude Code é usado em repositórios não internos. Ele instrui o modelo a nunca mencionar codinomes internos como "Capybara" ou "Tengu", canais internos do Slack, nomes de repositórios ou a própria frase "Claude Code". A linha 15 afirma: "NÃO há força-OFF. Isso protege contra vazamentos de codinomes do modelo."

Você pode forçá-lo a LIGAR com CLAUDE_CODE_UNDERCOVER=1, mas não há como forçá-lo a DESLIGAR. Em builds externos, toda a função é eliminada como código morto para retornos triviais. Isso significa que commits e PRs de autoria de IA de funcionários da Anthropic em projetos de código aberto não terão nenhuma indicação de que uma IA os escreveu.

Detecção de frustração via regex

userPromptKeywords.ts contém um padrão regex que detecta frustração do usuário: /\b(wtf|wth|ffs|omfg|shit(ty|tiest)?|dumbass|horribl (incompleto na fonte). Isso sugere que o sistema tenta identificar usuários frustrados através de correspondência de palavras-chave.

Outras descobertas

• Atestação de cliente nativo abaixo do runtime JS
• 250.000 chamadas de API desperdiçadas por dia
• KAIROS: um modo de agente autônomo não lançado

O vazamento ocorreu apenas dez dias após a Anthropic enviar ameaças legais à OpenCode, forçando-os a remover a autenticação do Claude integrada porque ferramentas de terceiros estavam usando as APIs internas do Claude Code para acessar o Opus com taxas de assinatura em vez de preços por token.