Código-fonte do Claude supostamente vazado via arquivo de mapa NPM

De acordo com um tweet de @Fried_rice, o código-fonte do Claude Code parece ter sido vazado por meio de um arquivo de mapa em seu registro NPM. O tweet contém um link para uma discussão no Hacker News com 93 pontos e 35 comentários, indicando um interesse significativo dos desenvolvedores neste incidente de segurança.
A URL do tweet original é fornecida, mas o conteúdo da página obtida mostra que o JavaScript está desativado ou bloqueado, impedindo o acesso aos detalhes específicos do vazamento. Quando o JavaScript está desabilitado no X.com, a plataforma exibe uma mensagem solicitando que os usuários habilitem o JavaScript ou mudem para um navegador compatível.
Esse tipo de incidente normalmente envolve arquivos de mapa de origem que são acidentalmente incluídos em builds de produção. Mapas de origem são ferramentas de depuração que mapeiam código minificado/compilado de volta ao código-fonte original, e quando publicados em registros públicos como o NPM, podem expor código proprietário que os desenvolvedores pretendiam manter privado.
Para desenvolvedores que usam agentes de codificação com IA, este incidente destaca a importância de práticas adequadas de configuração de build e implantação. Mapas de origem devem ser excluídos de pacotes de produção ou publicados em registros privados quando contêm código sensível.
A discussão no Hacker News provavelmente contém análise técnica dos arquivos específicos expostos, a extensão do vazamento e possíveis implicações de segurança para os usuários do Claude Code. Desenvolvedores interessados nos detalhes técnicos devem verificar o tópico do HN para análise e discussão da comunidade.
📖 Read the full source: HN AI Agents
👀 See Also

Claude Code --perigosamente-ignorar-permissões vulnerabilidade e ferramenta de defesa de código aberto
A Lasso Security publicou uma pesquisa mostrando vulnerabilidades de injeção indireta de prompt no Claude Code ao usar a flag --dangerously-skip-permissions, com vetores de ataque incluindo arquivos README envenenados, conteúdo web malicioso e saídas de servidores MCP. Eles lançaram um hook PostToolUse de código aberto que verifica as saídas de ferramentas contra mais de 50 padrões de detecção.

Abordagem de Segurança OpenClaw Usando Roteador LLM e Compartilhamento Privado zrok
Um desenvolvedor compartilha sua abordagem para executar o OpenClaw e um roteador de LLM dentro de um ambiente VM+Kubernetes com um único comando, abordando preocupações de segurança ao injetar chaves de API no nível do roteador e usando zrok para compartilhamento privado em vez de tokens tradicionais de aplicativos de mensagens.

Duas Abordagens para Reduzir o Risco de Vazamento de Dados com Agentes de IA
Uma postagem no Reddit descreve dois métodos para desenvolvedores controlarem para onde vão os dados de seus agentes de IA: usar suas próprias chaves de API diretamente com provedores como OpenAI ou Anthropic para eliminar intermediários, ou executar modelos de código aberto localmente com ferramentas como Ollama e OpenClaw.

Explorando os Riscos do Uso da Conta Google com Gemini-Cli e Assinatura Gemini Pro
O Gemini-Cli e sua assinatura do Gemini Pro podem representar alguns riscos para sua conta do Google. Aqui está o que você precisa saber sobre possíveis vulnerabilidades ao usar essas ferramentas de IA.