¿¿¿Qué está haciendo exactamente el Agente AI??? Análisis completo de la filtración de 500,000 líneas de código de Claude Code

51,2万 líneas de código, 1906 archivos, 59,8 MB de source map. En la madrugada del 31 de marzo, Chaofan Shou de Solayer Labs descubrió que el producto insignia de Anthropic, Claude Code, exponía el código fuente completo en un repositorio público de npm. En pocas horas, el código se hizo espejo en GitHub y las cifras de forks superaron las 41.000.

Este no es el primer error de Anthropic. Cuando Claude Code se publicó por primera vez en febrero de 2025, ocurrió una filtración similar del mismo source map. Esta vez la versión es v2.1.88; la causa de la filtración es la misma: la herramienta de construcción Bun genera source map por defecto, y en .npmignore faltó este archivo.

La mayoría de las noticias están enumerando los huevos de pascua de las filtraciones, como un sistema de mascotas virtuales o un «modo encubierto» que permite a Claude anónimamente enviar código a proyectos de código abierto. Pero la cuestión realmente digna de desglosar es: ¿por qué el mismo modelo de Claude se comporta tan diferente entre la versión web y Claude Code? ¿Qué está haciendo realmente esas 512.000 líneas de código?

El modelo es solo la punta del iceberg

La respuesta está escondida en la estructura del código. Según el análisis inverso del código filtrado por la comunidad de GitHub, de las 512.000 líneas de TypeScript, el código de la interfaz que invoca directamente el modelo de IA son solo unas 8000 líneas, que representan el 1,6% del total.

¿A qué se dedica el 98,4% restante? Los dos módulos más grandes son el motor de consultas (46.000 líneas) y el sistema de herramientas (29.000 líneas). El motor de consultas gestiona las llamadas a la API de LLM, la salida en streaming, la orquestación de cachés y la administración de conversaciones de múltiples turnos. El sistema de herramientas define alrededor de 40 herramientas integradas y 50 comandos con barra diagonal, formando una arquitectura tipo complementos; cada herramienta tiene controles de permisos independientes.

Además, hay 25.000 líneas de código para la renderización de la interfaz de terminal (uno de los archivos, llamado print.ts, tiene hasta 5594 líneas; una sola función abarca 3167 líneas), 20.000 líneas para la seguridad y el control de permisos (incluye 23 comprobaciones de seguridad Bash numeradas y 18 comandos internos de Zsh que están enmascarados), y 18.000 líneas para la sistemática de orquestación de múltiples agentes.

El investigador en aprendizaje automático Sebastian Raschka, tras analizar el código filtrado, señaló que la razón por la que Claude Code es más potente que la versión web de un modelo similar no está en el modelo en sí, sino en el andamiaje de software construido alrededor del modelo, incluida la carga del contexto del repositorio, la programación de herramientas especializadas, las estrategias de caché y la colaboración de agentes subordinados. Incluso considera que si se adapta la misma arquitectura de ingeniería a otros modelos como DeepSeek o Kimi, también se podría obtener una mejora de rendimiento de programación comparable.

Un contraste intuitivo puede ayudar a entender esta diferencia. Si formulas una pregunta en ChatGPT o en la versión web de Claude, el modelo procesa y devuelve la respuesta, y cuando termina la conversación no queda nada. Pero el enfoque de Claude Code es completamente diferente: al iniciar, primero lee los archivos de tu proyecto, entiende la estructura de tu base de código, y recuerda tus preferencias, como «no mockear una base de datos en los tests». Puede ejecutar comandos directamente en tu terminal, editar archivos y ejecutar pruebas. Cuando se enfrenta a una tarea compleja, la descompone en múltiples subtareas y las asigna a diferentes agentes subordinados para que trabajen en paralelo. En otras palabras: la IA de la versión web es una ventana de preguntas y respuestas, y Claude Code es un colaborador que vive dentro de tu computadora.

Alguien comparó esta arquitectura con un sistema operativo: 42 herramientas integradas equivalen a llamadas al sistema, el sistema de permisos equivale a la gestión de usuarios, el protocolo MCP equivale a los controladores de dispositivos y la orquestación de agentes subordinados equivale a la planificación de procesos. Cada herramienta, al salir de fábrica, se marca por defecto como «no segura y escribible», a menos que el desarrollador declare activamente que es segura. La herramienta para editar archivos verifica obligatoriamente si ya leíste ese archivo: si no lo has leído, no te permite modificarlo. Esto no es un chatbot al que le añadieron unas cuantas herramientas: es un entorno de ejecución con el núcleo en LLM y un mecanismo de seguridad completo.

Esto significa una cosa: las barreras competitivas de los productos de IA quizá no estén en la capa del modelo, sino en la capa de ingeniería.

Cada vez que se rompe la caché, el costo se multiplica por 10

En el código filtrado hay un archivo llamado promptCacheBreakDetection.ts, que rastrea 14 vectores posibles que pueden hacer que el prompt cache se invalide. ¿Por qué los ingenieros de Anthropic tendrían que invertir tanto esfuerzo para evitar que la caché se rompa?

Miremos la tarificación oficial de Anthropic para entenderlo. Por ejemplo, con Claude Opus 4.6, el precio para la entrada estándar es de 5 dólares por cada millón de tokens; pero si se acierta la caché, el precio de lectura es solo 0,5 dólares: un 90% más barato. Por el contrario, cada vez que se rompe la caché, el costo de inferencia se multiplica por 10.

Esto explica muchas decisiones de arquitectura que parecen «excesivamente diseñadas» en el código filtrado. Cuando Claude Code se inicia, carga la rama git actual, el historial de commits reciente y el archivo CLAUDE.md como contexto; esos contenidos estáticos se almacenan en una caché global, separados de contenido dinámico por marcas de frontera, para garantizar que cada conversación no tenga que reprocesar el contexto ya existente. El código también incluye un mecanismo llamado sticky latches para evitar que el cambio de modo destruya las cachés ya establecidas. Los agentes subordinados están diseñados para reutilizar la caché del proceso padre en lugar de crear de nuevo su propia ventana de contexto.

Hay un detalle que vale la pena ampliar. Cualquiera que haya usado herramientas de programación con IA sabe que, cuanto más larga es la conversación, más lento responde la IA, porque en cada turno hay que reenviar al modelo todo el historial anterior. Un enfoque común es eliminar mensajes antiguos para liberar espacio, pero el problema es que eliminar cualquier mensaje rompe la continuidad de la caché, haciendo que todo el historial de la conversación se tenga que reprocesar, disparando a la vez la latencia y el costo.

En el código filtrado existe un mecanismo llamado cache_edits. El enfoque no es eliminar mensajes de verdad, sino marcar los mensajes antiguos con una etiqueta de «omitir» a nivel de API. El modelo ya no puede ver esos mensajes, pero no se rompe la continuidad de la caché. Esto significa que, en una conversación larga que dure varias horas, después de limpiar cientos de mensajes antiguos, la velocidad de la siguiente respuesta es casi igual a la de la primera. Para los usuarios comunes, esta es la respuesta subyacente a «por qué Claude Code puede admitir conversaciones de longitud prácticamente infinita sin volverse más lento».

Según los datos internos de monitoreo filtrados (procedentes de los comentarios de código en autoCompact.ts, con fecha marcada 10 de marzo de 2026), antes de introducir un límite de fallos máximos de compresión automática, Claude Code desperdiciaba aproximadamente 250.000 llamadas a la API al día. Hubo 1279 sesiones de usuarios en las que aparecieron 50 o más fallos continuos de compresión; la más grave tuvo 3272 fallos continuos en una sola sesión. La solución fue simplemente añadir una línea de restricción: MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3.

Así que, para los productos de IA, el costo de inferencia del modelo quizá no sea el nivel más caro; los fallos de gestión de caché son lo que realmente importa.

44 interruptores, apuntan todos en la misma dirección

El código filtrado esconde 44 feature flags: interruptores de funciones ya compilados, pero sin publicarse al público. Según el análisis de la comunidad, estas flags se dividen en cinco categorías por dominios de función, y la más densa es la de «agentes autónomos» (12), que apunta a un sistema llamado KAIROS.

KAIROS aparece referenciado en el código fuente más de 150 veces. Es un proceso demonio de tipo backend permanente. Claude Code ya no es solo una herramienta que responde cuando tú la invocas activamente: es un agente que siempre se ejecuta en segundo plano, que observa y registra continuamente, y actúa proactivamente en el momento adecuado. La condición es que no interrumpa al usuario; cualquier operación que pudiera bloquear al usuario más de 15 segundos se ejecuta con retraso.

KAIROS también integra detección de foco del terminal. En el código hay un campo terminalFocus que detecta en tiempo real si el usuario está mirando la ventana del terminal. Cuando cambias al navegador u otra aplicación, el agente determina que «no estás ahí» y pasa a modo autónomo: ejecuta tareas proactivamente, envía directamente código y no espera tu confirmación. Cuando vuelves al terminal, el agente regresa de inmediato al modo colaborativo: primero informa lo que hizo, y luego pide tu opinión. El grado de autonomía no es fijo: fluctúa en tiempo real según tu atención. Esto resuelve una situación incómoda de larga data en las herramientas de IA: una IA completamente autónoma no inspira confianza, y una IA completamente pasiva es demasiado ineficiente. La elección de KAIROS es ajustar de forma dinámica la iniciativa de la IA según la atención del usuario: cuando lo observas, se comporta; cuando te vas, se pone a trabajar por su cuenta.

Otro subsistema de KAIROS se llama autoDream. Cada vez que se acumulan 5 sesiones o se cumplen 24 horas, el agente arranca en segundo plano un proceso de «reflexión» en cuatro pasos. Primero escanea las memorias existentes para entender qué sabe ahora. Luego extrae nuevos conocimientos de los registros de conversación. Después combina los conocimientos nuevos y viejos, corrige contradicciones y elimina duplicados. Finalmente, simplifica el índice y borra entradas obsoletas. Este diseño toma prestada la teoría de la consolidación de la memoria de las ciencias cognitivas: las personas ordenan recuerdos durante el sueño; KAIROS ordena el contexto del proyecto cuando el usuario se marcha. Para los usuarios comunes, esto significa que cuanto más tiempo uses Claude Code, más precisa es su comprensión de tu proyecto, y no solo «recuerda lo que dijiste».

La segunda categoría es «anti-destilación y seguridad» (8 flags). La más destacable es el mecanismo fake_tools: cuando se cumplen cuatro condiciones a la vez (flag activada en compilación, activación del punto de entrada CLI, uso de una API de primera parte y el conmutador remoto GrowthBook en true), Claude Code inyecta definiciones de herramientas falsas en las solicitudes a la API, con el objetivo de contaminar posibles conjuntos de datos en los que se grabe el tráfico de API y que se usarían para entrenar los modelos de la competencia. Esta es una forma de defensa completamente nueva en la carrera armamentista de IA: no se trata de impedir que copies, sino de hacer que copies cosas incorrectas.

Además, en el código aparecen los códigos de modelo Capybara (divididos en tres niveles: versión estándar, versión fast y versión con ventana de contexto de un millón), algo que la comunidad sospecha ampliamente que son códigos internos de la serie Claude 5.

Huevos de pascua: una mascota electrónica escondida en 512.000 líneas de código

Entre toda la seriedad de la arquitectura de ingeniería y los mecanismos de seguridad, los ingenieros de Anthropic también construyeron en secreto un sistema completo de mascotas virtuales, con el nombre interno BUDDY.

Según el código filtrado y el análisis de la comunidad, BUDDY es una mascota de terminal con apariencia simulada. Aparece en forma de burbujas ASCII al lado del cuadro de entrada del usuario. Tiene 18 especies (incluyen capibaras, salamandras, setas, fantasmas, dragones, y una serie de seres originales como Pebblecrab, Dustbunny, Mossfrog), y se dividen por rareza en cinco niveles: común (60%), raro (25%), escaso (10%), épico (4%) y legendario (1%). Cada especie también tiene una «variante brillante»; la más rara, Shiny Legendary Nebulynx, tiene una probabilidad de aparición de solo una entre diez mil.

Cada BUDDY tiene cinco atributos: DEBUGGING (depuración), PATIENCE (paciencia), CHAOS (caos), WISDOM (sabiduría) y SNARK (sarcasmo/veneno). También pueden llevar sombrero; las opciones incluyen corona, sombrero de copa, sombrero con hélice, halo, sombrero de mago e incluso un mini pato. El hash de tu ID de usuario determina qué mascota eclosionarás; Claude le generará un nombre y una personalidad.

Según el plan de lanzamiento filtrado, BUDDY estaba previsto para entrar en pruebas del 1 al 7 de abril, y se lanzaría oficialmente en mayo, empezando por empleados internos de Anthropic.

En 512.000 líneas de código, el 98,4% se dedica a ingeniería dura; pero al final alguien se tomó el tiempo de crear una salamandra electrónica que lleva un sombrero con hélice. Quizá esa sea la línea de código más humana de toda la filtración.