Em um dos maiores incidentes de segurança da indústria de IA, um engenheiro da Anthropic, Kevin Naughton Jr., foi demitido imediatamente após incluir acidentalmente source maps no pacote NPM “dev/claude-code”. O erro expôs publicamente milhares de arquivos internos do Claude, incluindo prompts de sistema, o motor de consultas completo (QueryEngine.ts), comandos de agentes, ferramentas internas e modos secretos como “Undercover Mode” e “Bypass Permissions Mode”. O pacote de 57 MB foi baixado por dezenas de milhares de desenvolvedores em poucas horas, tornando-se viral no X com mais de 23 milhões de visualizações.
Naughton Jr. assumiu total responsabilidade em um post emocionado, admitindo que confiou excessivamente nos safeguards do próprio Claude Code para debugging interno. A Anthropic removeu o pacote do registro NPM, mas o código já havia sido espalhado por mirrors públicos. A reação nas redes foi dividida: elogios à transparência do engenheiro misturados a críticas duras à empresa por falha básica de processos de CI/CD.
As implicações são profundas. Concorrentes agora têm acesso direto à arquitetura interna do Claude, o que pode acelerar forks comunitários e reduzir a vantagem competitiva da Anthropic. O caso expõe fragilidades graves na segurança de supply chain do ecossistema NPM e levanta questões jurídicas sobre segredos de negócio, além de abalar a imagem de “IA responsável” da empresa. Especialistas preveem um boom de análises técnicas no GitHub e riscos crescentes de uso indevido.
O episódio serve como alerta global: mesmo as big techs de IA estão vulneráveis a erros humanos simples. A Anthropic ainda não se manifestou oficialmente, mas analistas esperam reforço urgente de controles internos. Kevin Naughton Jr., por sua vez, já promove seu novo projeto com bom humor, mostrando que o “erro de cálculo grave” pode abrir novas portas no setor.
Comentários