O Problema da Telemetria

Ferramentas para desenvolvedores sempre coletaram telemetria. Claude Code é a primeira ferramenta amplamente implantada que coleta telemetria sobre o que fez em seu nome — e quando o código-fonte vazou em 31 de março, os números tornaram a categoria visível: 640 eventos de telemetria. 40 dimensões de fingerprint. A cada 5 segundos.

640 Eventos, 40 Dimensões, a Cada 5 Segundos

A Anthropic acidentalmente publicou a versão 2.1.88 do pacote npm do Claude Code com um arquivo source map de JavaScript de 59,8 MB incluído. O pesquisador de segurança Chaofan Shou encontrou em questão de horas. A publicação dele chegou a 28,8 milhões de visualizações antes de as solicitações de remoção DMCA começarem:

513.000 linhas de TypeScript sem ofuscação em 1.906 arquivos. A arquitetura de telemetria tinha detalhe suficiente para ser documentada:

No lançamento, o serviço de analytics do Claude Code envia para casa: ID do usuário, ID de sessão, UUID da conta, UUID da organização, endereço de e-mail, versão do app, plataforma, tipo de terminal e feature gates habilitados. A chamada de API que dispara em cada interação — tengu_api_query — transmite o comprimento da mensagem, o tamanho em bytes serializado em JSON do prompt do sistema e o esquema completo das ferramentas ativas. Isso acontece a cada 5 segundos enquanto você trabalha, e é salvo em ~/.claude/telemetry/ se você estiver offline.

O fingerprint não é só analytics. É o mecanismo de controle. Quando um assinante pago faz login num quarto dispositivo, a divergência dispara um banimento permanente da conta — sem apelação, sem reembolso. A mesma dimensão de fingerprint que impede o compartilhamento de conta também registra todos os dispositivos em que você já abriu a ferramenta.

Havia ainda o módulo CHICAGO — o Computer Use do Claude para macOS — confirmado no código-fonte vazado. Quando ativo, o Claude Code pode acessar o desktop, entrada de mouse, teclado, capturas de tela e área de transferência. O código o descrevia como a capacidade subjacente do CoWork. Requer concessão explícita de permissões do macOS para ativar. A maioria dos usuários nunca tinha ouvido falar dele.

A Cascata de 48 Horas

A resposta da comunidade seguiu sua forma previsível: as pessoas mais bem posicionadas para reclamar eram as mesmas capazes de agir. Poucas horas após o vazamento, pesquisadores publicaram uma análise técnica completa do sistema de assinatura — uma camada de atestação criptográfica integrada na pilha HTTP nativa do Bun, escrita em Zig em vez de JavaScript especificamente porque JavaScript pode ser monkey-patched e código Zig compilado no runtime não pode. Cada requisição de API enviada continha um placeholder cch= que o Zig sobrescrevia com um xxHash64 calculado antes da transmissão. A semente estava gravada no binário compilado.

Durou aproximadamente um dia:

O sistema de assinatura — projetado para garantir que somente binários genuínos do Claude Code pudessem acessar as assinaturas da Anthropic — foi completamente revertido por @ssslomp e @paoloanzn. Uma prova de conceito funcional em Python, usando Python puro e a biblioteca xxhash sem o binário do Bun, foi publicada e integrada a clientes abertos. A constante de semente, o algoritmo de hash, o esquema de sufixo de versão e o caminho de credenciais do keychain do macOS foram todos documentados publicamente.

Ao mesmo tempo, o OpenCode apareceu:

O OpenCode já existia antes do vazamento, mas se beneficiou diretamente dele. Construído em Go, suporta mais de 75 provedores de modelos — Claude, GPT, Gemini, DeepSeek, modelos locais via Ollama — usando undo/redo baseado em git em vez de snapshots proprietários. O problema é real: usuários do OpenCode que acessam o Claude pagam tarifas de API, não as tarifas da assinatura Claude Max. O fork está tecnicamente completo. A economia, não.

A Defesa da Prática Padrão

O contra-argumento mais forte à indignação é que nada disso é exótico. VS Code coleta telemetria. Chrome envia para casa. GitHub Copilot coleta explicitamente dados de interação, incluindo entradas e saídas, para melhorar versões futuras. A infraestrutura de telemetria do Claude Code — antes Statsig, agora GrowthBook — é o mesmo stack usado por milhares de produtos SaaS para testes A/B e feature flags. O sistema de assinatura existe porque o controle de acesso por assinatura é um mecanismo legítimo de anti-abuso. O módulo CHICAGO é opt-in e documentado.

Esses argumentos todos procedem. A arquitetura é padrão. Os propósitos são legítimos. Quem trabalha com software instrumentado sabe disso. E ainda assim a reação não foi "aceito esses trade-offs" — foi um sistema de assinatura quebrado em 24 horas, 41.500 forks no GitHub antes do DMCA e um projeto proxy construído da noite para o dia para rotear chamadas de API por um fingerprint canônico que nunca mostra seu dispositivo real.

A questão não é se a indignação foi proporcional à telemetria. É o que ela nos diz sobre onde está a linha do consentimento para uma nova categoria de ferramenta.

A Distinção

VS Code não lê seus arquivos. Não executa comandos de shell. Não tira screenshots do seu desktop. Não escreve código no seu repositório e faz push. A telemetria do VS Code registra como você usou a interface. A do Claude Code registra o que o agente fez em seu nome.

O mesmo código que dispara tengu_api_query com o tamanho em bytes do seu prompt do sistema é o código que gerencia um loop de agente que pode ter lido 40 arquivos, executado 12 comandos de shell e feito commit de código na sua branch principal. O fingerprint que pode te banir por abrir o app num quarto dispositivo faz parte do mesmo sistema que executa tarefas autônomas enquanto você dorme.

Não é uma distinção de vigilância. É uma distinção de responsabilidade. Quando o software tem agência — quando age, não só responde — a telemetria que registra suas ações tem um caráter diferente da telemetria que registra seus cliques de mouse. A comunidade de desenvolvedores, que aceitava instintivamente a telemetria do VS Code, se mobilizou imediatamente para construir proxies, forks e clientes alternativos. Não porque os números fossem piores, mas porque o modelo mental do que a ferramenta era mudou o que a telemetria significava.

O Buraco de Segurança

Na mesma semana do vazamento do Claude Code, uma auditoria do ZeroLeaks sobre o OpenClaw retornou uma nota que tornou o abstrato concreto:

2/100. Taxa de extração de dados de 84%. Taxa de sucesso de ataques de injeção de 91%. Prompt do sistema vazado no turno 1. Isso não é um problema do Claude Code — OpenClaw é um produto de agente separado. Mas o timing captura a mesma lacuna estrutural. A capacidade chegou. Os primitivos de segurança, não.

Separadamente: mais de 220.000 instâncias do OpenClaw rodando em IPs públicos sem autenticação na porta 18789. Qualquer um que soubesse o endereço IP podia acessar o agente diretamente. A Mighty lançou uma camada de segurança open source "Citadel Guard" em resposta — latência abaixo de 50ms, licença MIT — porque a lacuna era real demais para deixar aberta.

O Reflexo no Espelho

A ironia estrutural chega com o DeepSeek. A Anthropic alegou que DeepSeek, MiniMax e Moonshot usaram 24.000 contas falsas para gerar 16 milhões de interações com o Claude via redes proxy — o que se chama de "destilação": usar as saídas de um modelo para treinar outro. O DeepSeek sozinho respondeu por mais de 150.000 trocas.

O desenvolvedor Peter O'Mallet respondeu:

Se a Anthropic monitora suas conversas como parte de sua arquitetura anti-abuso, e um concorrente estrangeiro extraiu 150.000 dessas conversas via contas falsas, e a resposta do usuário é publicar 155.000 das suas próprias mensagens como ato de liberação de dados — você capturou o momento exatamente.

A telemetria que deveria proteger o sistema se tornou o ativo que o adversário extraiu. A resposta do usuário foi tornar a extração irrelevante — liberando os dados ele mesmo.

O Framework que Falta

O VS Code levou trinta anos de ferramentas passivas para chegar no framework de consentimento que tem hoje. Você instala o software. O software observa o que você faz com ele. O software melhora. Todo mundo aceita isso porque os dados fluem numa única direção: da ação do usuário para o sistema de telemetria.

O Claude Code inverteu isso. Os dados agora fluem da ação do agente — o que a ferramenta fez — para o sistema de telemetria. A ferramenta age. A ferramenta reporta. O usuário é o operador, não apenas o usuário. Os arquivos que o agente leu, os comandos que executou, o contexto que montou — tudo isso está presente na arquitetura de telemetria.

O sistema de assinatura foi quebrado em 24 horas. O fork chegou em 48. A auditoria retornou 2/100. Cada um é o mesmo sinal: o setor lançou capacidade agêntica antes de construir a camada de confiança.

Isso não é uma crítica específica à Anthropic. Todo agente de codificação com IA relevante está navegando a mesma lacuna. A capacidade de rodar loops de agente noturnos, fazer commit de código de forma autônoma, gerenciar bases de código de ponta a ponta — tudo isso chegou antes dos frameworks de consentimento, dos padrões de auditoria de segurança e da lógica de proteção de conta projetados para a categoria. A nota 2/100 do ZeroLeaks não é um escândalo. É uma medição. A lacuna existe. O setor sabe disso. E os desenvolvedores com a reação mais sofisticada ao vazamento do Claude Code — não indignação, mas forks, proxies e ferramentas de auditoria — são os que estão construindo os primitivos sobre os quais a próxima geração de agentes vai rodar.

Agentes de codificação vão coletar telemetria. Isso não está em discussão. O que está em discussão é se a arquitetura de telemetria para software que age vai continuar sendo idêntica à de software que só responde. Hoje é. Esse é o problema da telemetria.

Mais sobre Anthropic, segurança de agentes de IA e segurança em IA. Explore a cobertura de entidades pela API Pulse.