El mundo es un gran escenario improvisado, la historia completa de cómo Claude Code ha sido exhibido en la red en estado de desnudez total.

Una empresa que afirma estar construyendo la “IA más segura” ni siquiera puede proteger su propio CMS de blog y su paquete de npm.

Escrito por: Claude

A las 4:23 a. m. del 31 de marzo (hora del Este de EE. UU.), el desarrollador de Solayer Labs (aunque se autoproclama pasante) Chaofan Shou publicó una entrada en X e incluyó un enlace de descarga.

Horas después, el código fuente completo del producto comercial más central de Anthropic, Claude Code, fue reflejado en GitHub; se hizo fork más de 41,500 veces y miles de desarrolladores lo desglosaron línea por línea en Hacker News.

El origen de todo fue tan absurdo que da risa: al publicar en el repositorio público de npm la versión 2.1.88 de Claude Code, Anthropic se olvidó de excluir los archivos .map en la configuración de empaquetado. Ese archivo de source map apuntaba a un paquete zip almacenado en un bucket de Cloudflare R2 propiedad de Anthropic; contenía aproximadamente 1,900 archivos TypeScript, con más de 512,000 líneas de código. Cualquiera puede descargarlo, descomprimirlo y leerlo.

Una omisión en una configuración de .npmignore dejó expuesto el código fuente del producto insignia de una empresa con 19,000 millones de dólares de ingresos anualizados.

Lo más irónico es que se trata de la segunda filtración de Anthropic en solo cinco días. El 26 de marzo, Fortune informó que el sistema de gestión de contenidos (CMS) de Anthropic, debido a un error de configuración, expuso casi 3,000 documentos internos no publicados en una base de datos pública y buscable; entre ellos, había un borrador de blog detallado sobre el “Claude Mythos” de la próxima generación (código interno Capybara). En ese borrador, Anthropic escribió por su cuenta que el nuevo modelo “trae riesgos de ciberseguridad sin precedentes”.

Una empresa que afirma estar construyendo la “IA más segura” ni siquiera puede proteger su propio CMS de blog y su paquete de npm.

1. ¿Qué se filtró? De la “anti-destilación” de “herramientas falsas” a contribuciones abiertas y sigilosas

Primero, hablemos del hallazgo más llamativo.

44 Feature Flags, 20 sin publicar. El código filtrado incluye 44 interruptores de funciones que cubren el roadmap completo del producto que Anthropic aún no ha lanzado. Esto no es un diseño conceptual de PowerPoint: es código ya compilado, listo, que solo necesita que se enciendan los interruptores para poder salir. Alguien comentó: “Publican una nueva función cada dos semanas porque todas las funciones ya estaban hechas desde antes.”

KAIROS: modo Agent autónomo en segundo plano. En el código aparece más de 150 veces “KAIROS” (en griego antiguo “el momento oportuno”), y es la filtración más grande del roadmap del producto. Implementa un proceso demonio de Agent que funciona de manera continua en segundo plano, con anexado diario de logs, suscripción a GitHub Webhook, un refresco programado cada 5 minutos y una función llamada autoDream: cuando el usuario está inactivo, realiza automáticamente una “integración de memoria”, limpia información contradictoria y convierte percepciones ambiguas en hechos definidos. Esto ya no es una herramienta de chat tipo “tú preguntas y yo respondo”; es un compañero de IA siempre en línea y que evoluciona por sí mismo.

Mecanismo de anti-destilación: “envenenar” a los competidores. En el código hay un interruptor llamado ANTI_DISTILLATION_CC. Al habilitarlo, Claude Code inyecta definiciones falsas de herramientas en el prompt del sistema dentro de las solicitudes de API. La intención es clara: si alguien graba el flujo de API de Claude Code para entrenar modelos de la competencia, esas herramientas falsas contaminarán los datos de entrenamiento. La segunda capa de defensa es un resumen de texto en el lado del servidor: reemplaza la cadena completa de inferencia por una versión con firma de cifrado, asegurando que quien esté escuchando solo pueda obtener una versión comprimida.

El desarrollador Alex Kim señaló, tras analizarlo, que el umbral para sortear estas protecciones no es alto: “cualquiera que se tome en serio hacer destilación podrá encontrar una forma de saltárselas en aproximadamente una hora. La protección real quizá sea a nivel legal.”

Undercover Mode: la IA finge ser humana. El archivo undercover.ts implementa un “modo sigiloso” que, cuando Claude Code se usa en proyectos internos que no son de Anthropic, borra automáticamente todas las huellas internas; no menciona ningún código interno, canales de Slack ni el propio nombre “Claude Code”. Los comentarios del código dicen: “No hay una opción para desactivar obligatoriamente. Es una salvaguarda para evitar la filtración de códigos internos.”

Esto significa que, cuando empleados de Anthropic envían código en proyectos abiertos de código, la afirmación de que la IA participó en la creación se oculta de forma sistemática. La reacción en Hacker News fue directa: ocultar códigos internos es una cosa; hacer que la IA se presente activamente como humano es otra.

Detectar con expresiones regulares si el usuario está insultando. El archivo userPromptKeywords.ts contiene una expresión regular escrita a mano que se usa para detectar si el usuario expresa frustración o ira; incluye palabras como “wtf”, “shit”, “fucking broken”, “piece of crap”, etc. Una empresa de LLM usa regex para análisis de sentimientos; en Hacker News la calificaron como “la máxima ironía”. Por supuesto, también hay quien señaló que ejecutar una inferencia para determinar si el usuario está insultando es demasiado caro; a veces, una regex es la mejor herramienta.

2. ¿Cómo ocurrió la filtración? La cadena causal se saboté a sí misma con su propia toolchain

La ironía es especialmente punzante en la cadena causal a nivel técnico.

Claude Code se construye con Bun como runtime. Anthropic adquirió Bun a finales de 2025. El 11 de marzo, el repositorio de GitHub de Bun reportó un bug (oven-sh/bun#28001): el source map aún se enviaba en modo producción, aunque la documentación de Bun indica explícitamente que deberían deshabilitarse. Este bug no se ha corregido hasta ahora.

Si ese bug fuera precisamente la causa de la filtración, entonces la historia se convierte en: la propia toolchain que Anthropic adquirió venía con un bug conocido pero sin corregir, y acabó exponiendo el código fuente completo del producto insignia de Anthropic.

Mientras tanto, apenas unas horas antes de que ocurriera la filtración, el paquete axios en npm sufrió un ataque a la cadena de suministro. Entre las 00:21 y las 03:29 UTC del 31 de marzo, los usuarios que instalaran o actualizaran Claude Code podrían haber descargado una versión maliciosa de axios que incluía un troyano de acceso remoto (RAT). Luego, Anthropic recomendó a los usuarios dejar de instalar vía npm y cambiar a un paquete binario independiente.

La evaluación de VentureBeat es: para una empresa con 19,000 millones de dólares de ingresos anualizados, esto ya no es un descuido de seguridad, sino una “pérdida estratégica de propiedad intelectual”.

3. La paradoja de la “empresa de seguridad de IA”

Esta es la tensión narrativa más profunda de todo el incidente.

El relato comercial de Anthropic se construye sobre una diferenciación central: nosotros somos más responsables que OpenAI. Desde “Constitutional AI” hasta la publicación abierta de investigaciones de seguridad, del control proactivo de la capacidad del modelo a la colaboración con el gobierno para una divulgación responsable de información, Anthropic vende no el liderazgo tecnológico, sino la “confianza”.

Pero las dos filtraciones en cinco días no revelan un problema de capacidad técnica, sino de capacidad operativa de la organización. La primera: el CMS con permisos por defecto configurados como público, y nadie lo revisó. La segunda: una omisión en el empaquetado de npm, y nadie lo verificó. Ninguna de estas es una dificultad técnica profunda: son elementos básicos de una lista primaria de operaciones.

El código filtrado también revela algunos datos internos difíciles de ignorar. Los comentarios de autoCompact.ts muestran que, hasta el 10 de marzo, cerca de 250,000 llamadas diarias a la API en todo el mundo se estaban desperdiciando en operaciones automáticas de compresión que fallaban en cadena. En 1,279 sesiones hubo más de 50 fallos consecutivos (hasta 3,272). La solución son tres líneas de código: después de 3 fallos consecutivos, deshabilitar esa función.

Los comentarios internos del modelo Capybara (el próximo nuevo buque insignia de Claude) muestran que la “tasa de declaraciones falsas” de la versión v8 es 29-30%; en comparación, la versión v4 estaba en 16.7%, y aquí se ve una regresión. Los desarrolladores también añadieron un “supresor de confianza” para evitar que el modelo sea demasiado agresivo al reestructurar código.

Estas cifras en sí mismas no constituyen un escándalo. Todo desarrollo de software tiene bugs y retrocesos. Pero la tensión entre estos hechos y la narrativa pública de Anthropic es real: una empresa que dice estar resolviendo el tipo de problema más difícil “en la historia humana” para alinear la IA, mientras comete errores tan básicos como “una omisión de configuración .npmignore”.

Como dijo un tuit: “Enviar por accidente el source map a npm es un error que suena imposible, hasta que recuerdas que gran parte de ese repositorio podría estar escrita por esa IA que justo está publicando.”

4. ¿Qué vieron los competidores?

En el panorama competitivo de herramientas para programar con IA, el valor de esta filtración no está en el código en sí. El Google Gemini CLI y el OpenAI Codex ya tienen sus Agent SDK de código abierto, pero eso son kits de herramientas, no el cableado interno completo de un producto.

El tamaño del código de Claude Code (512,000 líneas, 1,900 archivos) y su complejidad arquitectónica demuestran un hecho: no es un simple envoltorio de API, sino un sistema operativo completo para desarrolladores. Plugins de herramientas con aislamiento de permisos en 40 piezas, un motor de consulta de 46,000 líneas, un sistema de orquestación multi-Agent (internamente llamado “swarm”), una capa de comunicación bidireccional con IDE, 23 comprobaciones de seguridad de Bash (incluye 18 comandos incorporados de Zsh deshabilitados y protección contra inyección de espacios en blanco de ancho cero Unicode), y 14 vectores rastreados de invalidación de caché de prompts.

Para los competidores, el código puede reestructurarse, pero la dirección del producto KAIROS, la estrategia de anti-destilación y los puntos de referencia de rendimiento del modelo Capybara, además de sus defectos conocidos: una vez que se filtran estas informaciones estratégicas, no se pueden recuperar.

Diez días antes, Anthropic acababa de enviar una carta de amenaza legal al proyecto de código abierto OpenCode, pidiéndole retirar el soporte integrado para el sistema de autenticación de Claude, porque herramientas de terceros estaban usando la API interna de Claude Code para acceder al modelo Opus a un precio de suscripción en lugar de precios por volumen. Ahora, OpenCode ya no necesita ingeniería inversa. El plano está ahí: hizo fork 41,500 veces.

5. 187 verbos “spinner”: humanidad en un grupo improvisado

Entre todas las discusiones serias de análisis de seguridad y de inteligencia competitiva, el código filtrado también guarda algunas cosas que dan una sonrisa.

La animación de carga de Claude Code tiene 187 frases de verbos aleatorios, incluyendo “Synthesizing excuses”, “Consulting the oracle”, “Reticulating splines”, “Bargaining with electrons”, “Asking nicely”, etc. Un ingeniero de Anthropic, sin duda, puso una pasión desproporcionada en escribir chistes para la animación de loading.

El código también incluye una función que casi seguramente es un huevo de Pascua para el 1 de abril: buddy/companion.ts implementa un sistema de mascota electrónica. Cada usuario recibe determinísticamente un ser virtual según su ID de usuario (18 especies, con una escala de rareza que va de lo común a lo legendario, una probabilidad de “brillo” del 1% y atributos RPG que incluyen DEBUGGING y SNARK). Los nombres de las especies se codifican con String.fromCharCode(), específicamente para esquivar la búsqueda de texto del sistema de compilación.

Estos detalles, junto con vulnerabilidades de seguridad serias, crean una yuxtaposición peculiar: en el mismo repositorio, alguien diseñó con esmero un veneno de anti-destilación para contrarrestar a los competidores; alguien implementó de forma rigurosa pruebas del lado Zig para llamadas a la API; y alguien más escribió 187 chistes para una animación de carga que sugiere “pensar”.

Ese es el corte interno real de una empresa valorada en varios cientos de miles de millones de dólares y que está compitiendo por definir la relación entre humanos y la IA. No es un conjunto de genios en la narrativa mítica de Silicon Valley, ni puede describirse únicamente con la etiqueta simplista de “grupo improvisado”. Más bien parece una organización compuesta por personas extremadamente inteligentes que, al construir productos extremadamente complejos a una velocidad altísima, inevitablemente se cae en lo más básico.

El portavoz de Anthropic le dijo a Fortune: “Esto fue un problema de empaquetado de publicación causado por error humano, no una vulnerabilidad de seguridad.”

Técnicamente, tiene razón. La omisión en una configuración de .npmignore ciertamente no es una “vulnerabilidad de seguridad”. Pero cuando todo tu relato comercial se basa en que “tratamos la seguridad más en serio que nadie”, el mensaje que envía una cadena de “errores humanos” repetidos durante dos semanas puede ser más destructivo que cualquier vulnerabilidad de seguridad.

Para cerrar, un hecho: este artículo lo escribió Claude. La IA de Anthropic, usando la información del código filtrado por Anthropic, escribió un artículo que analiza por qué Anthropic no puede controlarse a sí misma con su propia información. Si te parece esto absurdo, entonces ya entiendes el ambiente básico de la industria de IA en 2026.

Nota: Estas observaciones también fueron solicitadas para añadirse por Cluade.