O vazamento do mapa de origem do código do Claude revela que o JavaScript minificado já estava público no npm

O que realmente aconteceu com o "vazamento"
Um arquivo .map de mapa de origem destinado à depuração interna foi acidentalmente incluído na versão 2.1.88 do pacote @anthropic-ai/claude-code no npm. O pesquisador de segurança Chaofan Shou o detectou e postou no X. A Anthropic confirmou que se tratava de um "problema de empacotamento de lançamento causado por erro humano, não uma violação de segurança". O pacote foi retirado, mas já havia sido espelhado em todos os lugares.
Esta é a segunda vez que isso acontece - um vazamento de mapa de origem quase idêntico ocorreu em fevereiro de 2025, treze meses antes.
O código já era público
O Claude Code é distribuído como um único arquivo JavaScript empacotado - cli.js - distribuído via npm. Tem 13MB, 16.824 linhas de JavaScript e está publicamente acessível em unpkg.com/@anthropic-ai/claude-code/cli.js desde o lançamento do produto.
O arquivo é minificado, mas não ofuscado. Aqui está a diferença:
- Minificação (o que todo bundler como esbuild, Webpack, Rollup faz por padrão) encurta nomes de variáveis e remove espaços em branco
- Ofuscação criptografa strings, achata o fluxo de controle, injeta código morto, adiciona mecanismos anti-manipulação
O Claude Code tem minificação padrão com embaralhamento de nomes de variáveis e remoção de espaços em branco, mas nenhuma das técnicas de ofuscação:
- Criptografia/codificação de strings: Não
- Achamento de fluxo de controle: Não
- Injeção de código morto: Não
- Autodefesa / anti-manipulação: Não
- Rotação de array de strings: Não
- Embaralhamento de nomes de propriedades: Não
Extraindo o conteúdo em texto simples
Todas as mais de 148.000 literais de string estão em texto simples. Cada prompt do sistema, cada descrição de ferramenta, cada instrução comportamental é legível com um editor de texto. Nenhum mapa de origem necessário.
Usando um script simples de extração baseado em AST, o arquivo completo de 13MB pode ser analisado em 1,47 segundos para extrair 147.992 strings. Após categorizar:
- 1.017 prompts e instruções do sistema
- 431 descrições de ferramentas
- 837 nomes únicos de eventos de telemetria (todos prefixados com tengu_ - codinome interno do Claude Code)
- 504 variáveis de ambiente controlando o comportamento do produto
- 3.196 mensagens de erro
- Endpoints hardcoded, URLs OAuth, uma chave de API do DataDog, o catálogo completo de modelos
Reação da comunidade
Dentro de um único dia após a descoberta do mapa de origem:
- Despejos de código apareceram no GitHub (como nirholas/claude-code), removidos por DMCA pela Anthropic em horas, mas bifurcados centenas de vezes
- Claw Code - uma reescrita completa em Rust da arquitetura do Claude Code - atingiu 50.000 estrelas no GitHub em 2 horas, tornando-se o repositório mais rápido da história a alcançar esse marco
- ccleaks.com surgiu - um site de análise totalmente projetado catalogando cada recurso não lançado, comando oculto e flag de compilação encontrada no código-fonte
- Dezenas de artigos de análise na DEV Community, YouTube e blogs de tecnologia dissecando cada detalhe
Geoffrey Huntley publicou uma "transpilação de sala limpa" completa do Claude Code meses antes deste incidente.
📖 Leia a fonte completa: HN AI Agents
👀 See Also

Alerta de Segurança para Instâncias Locais do OpenClaw Sem Sandboxing
Uma postagem no Reddit alerta que executar instâncias vanilla do OpenClaw localmente sem o isolamento adequado pode levar à exposição de chaves de API, exclusão acidental de arquivos e vazamento de dados. A fonte recomenda colocar ferramentas bash em sandbox ou usar um serviço gerenciado.

Claude Cage: Sandbox Docker para Segurança de Código Claude
Um desenvolvedor criou um contêiner Docker chamado Claude Cage que isola o Claude Code em uma única pasta de trabalho, impedindo o acesso a chaves SSH, credenciais da AWS e arquivos pessoais. A configuração inclui regras de segurança e leva cerca de 2 minutos com o Docker instalado.

KnightClaw: Extensão de Segurança Local para Agentes OpenClaw
KnightClaw é uma extensão plug-and-play que intercepta mensagens antes que elas cheguem aos agentes OpenClaw, fornecendo um sistema de detecção híbrido de 8 camadas e redação de saída. Ele roda completamente localmente, sem telemetria, e é licenciado sob MIT.

Hackerbot-Claw: Bot de IA Explorando Fluxos de Trabalho do GitHub Actions
Um bot alimentado por IA chamado hackerbot-claw executou uma campanha de ataque automatizada de uma semana contra pipelines de CI/CD, alcançando execução remota de código em pelo menos 4 de 6 alvos, incluindo projetos da Microsoft, DataDog e CNCF. O bot usou 5 técnicas de exploração diferentes e exfiltrou um token do GitHub com permissões de escrita.