Incidente de filtración del código fuente de Claude: el efecto mariposa provocado por un archivo .map

Artículo: Claude

I. Origen

En la madrugada del 31 de marzo de 2026, un tuit en la comunidad de desarrolladores desató un gran alboroto.

Chaofan Shou, un pasante de una empresa de seguridad blockchain, descubrió que el paquete npm oficial de Anthropic venía con un archivo de source map, exponiendo el código fuente completo de Claude Code al público en Internet. Enseguida publicó este hallazgo en X y adjuntó un enlace directo de descarga.

Esta publicación explotó en la comunidad de desarrolladores como un cohete de señales. En cuestión de horas, más de 512.000 líneas de código TypeScript se reflejaron en GitHub, y miles de desarrolladores las analizaron en tiempo real.

Este es el segundo gran incidente de filtración de información ocurrido en menos de una semana por parte de Anthropic.

Justo cinco días antes (el 26 de marzo), un error de configuración de un CMS de Anthropic hizo que se publicaran alrededor de 3.000 archivos internos, incluidos borradores de artículos de blog sobre el modelo “Claude Mythos” que estaba por lanzarse.

II. ¿Cómo ocurrió la filtración?

La razón técnica de este incidente es casi ridícula: la causa raíz fue que el paquete npm incluía, por error, un archivo de source map (.map).

Estos archivos se usan para mapear el código de producción ofuscado y comprimido de vuelta al código fuente original, de modo que al depurar se puedan localizar líneas de error. Y en ese .map hay un enlace que apunta a un paquete ZIP dentro del almacenamiento Cloudflare R2 de Anthropic.

Shou y otros desarrolladores descargaron directamente ese paquete ZIP, sin necesidad de ningún método de hackeo. El archivo simplemente estaba allí, completamente accesible.

La versión problemática era la v2.1.88 de @anthropic-ai/claude-code, que incluía un archivo de source map de JavaScript de 59,8MB.

En su respuesta a las declaraciones de The Register, Anthropic reconoció: “Una versión anterior de Claude Code también sufrió una filtración similar de código fuente en febrero de 2025”. Esto significa que el mismo error ocurrió dos veces en 13 meses.

Irónicamente, dentro de Claude Code hay un sistema llamado “Undercover Mode (modo encubierto)”, diseñado específicamente para evitar que los códigos internos de Anthropic se filtren accidentalmente en los registros de commits de git… y luego un ingeniero empacó todo el código fuente dentro de un .map.

Otro posible impulsor del incidente fue la propia cadena de herramientas: a finales de año, Anthropic adquirió Bun, y Claude Code se construye precisamente con Bun. El 11 de marzo de 2026, alguien presentó un informe de bug en el sistema de seguimiento de issues de Bun (#28001), señalando que Bun en modo de producción seguía generando y mostrando source maps, contradiciendo lo que dicen los documentos oficiales. Ese issue sigue abierto hasta hoy.

Al respecto, la respuesta oficial de Anthropic fue breve y contenida: “No se vieron involucrados ni se filtraron datos ni credenciales de usuarios. Esto fue un error humano en el proceso de empaquetado y publicación, no una vulnerabilidad de seguridad. Estamos avanzando medidas para evitar que vuelva a ocurrir un incidente de este tipo.”

III. ¿Qué se filtró?

Escala del código

Lo filtrado abarcó aproximadamente 1.900 archivos y más de 500.000 líneas de código. No son pesos del modelo, sino la implementación de “capa de software” completa de Claude Code: incluye el marco de llamadas a herramientas, la orquestación de múltiples agentes, el sistema de permisos, el sistema de memoria y otras arquitecturas fundamentales.

Hoja de ruta de funcionalidades no publicadas

Esta es la parte con más valor estratégico del incidente.

Proceso de guardián autónomo KAIROS: este código de funcionalidad, mencionado más de 150 veces, proviene del griego antiguo “kairós” (el momento oportuno) y representa el cambio fundamental de Claude Code hacia un “Agente en segundo plano permanente”. KAIROS incluye un proceso llamado autoDream, que ejecuta “integración de memoria” cuando el usuario está inactivo: combina observaciones fragmentadas, elimina contradicciones lógicas y convierte percepciones ambiguas en hechos deterministas. Cuando el usuario regresa, el contexto del Agente ya está limpio y altamente relevante.

Códigos internos de modelos y datos de rendimiento: el contenido filtrado confirma que Capybara es el código interno de una variante de Claude 4.6; Fennec corresponde a Opus 4.6; y Numbat, aún no publicado, sigue en pruebas. En los comentarios del código también se expone que Capybara v8 tiene una tasa de enunciados falsos del 29-30%, lo cual supone un retroceso frente al 16,7% de v4.

Mecanismo de anti-destilación (Anti-Distillation): en el código existe una marca de función llamada ANTI_DISTILLATION_CC. Al habilitarla, Claude Code inyecta definiciones falsas de herramientas en las solicitudes de la API, con el objetivo de contaminar los datos de tráfico de API que los competidores podrían usar para el entrenamiento de modelos.

Lista de funciones beta de la API: el archivo constants/betas.ts revela todas las funciones beta de la negociación entre Claude Code y la API, incluyendo una ventana de contexto de 1 millón de tokens (context-1m-2025-08-07), el modo AFK (afk-mode-2026-01-31), la gestión de presupuestos de tareas (task-budgets-2026-03-13) y una serie de capacidades que aún no se han hecho públicas.

Sistema incrustado tipo Pokémon de compañeros virtuales: incluso hay escondida una completa serie de compañeros virtuales (Buddy) en el código, que incluye rareza de especies, variantes brillantes, atributos generados de forma programática, y una “descripción del alma” redactada por Claude durante la primera incubación. Las categorías de compañeros se determinan mediante un generador de números pseudoaleatorios determinista basado en el hash del ID del usuario; el mismo usuario siempre obtiene el mismo compañero.

IV. Ataque concurrente a la cadena de suministro

Este incidente no ocurrió de forma aislada. En la misma ventana temporal en la que se filtró el código fuente, el paquete axios en npm fue atacado mediante una intrusión independiente en la cadena de suministro.

Entre las 00:21 y las 03:29 UTC del 31 de marzo de 2026, si se instaló o actualizó Claude Code a través de npm, podría haberse introducido sin querer una versión maliciosa que contenía un troyano de acceso remoto (RAT) (axios 1.14.1 o 0.30.4).

Anthropic recomendó que los desarrolladores afectados trataran el host como si estuviera completamente comprometido, rotaran todas las claves y reinstalaran el sistema operativo.

La superposición temporal de estos dos eventos volvió la situación aún más caótica y peligrosa.

V. Impacto en la industria

Daño directo a Anthropic

Para una empresa con ingresos anuales que ascienden a 19.000 millones de dólares y que se encuentra en una etapa de crecimiento acelerado, esta filtración no es solo un descuido de seguridad: es una pérdida de propiedad intelectual estratégica.

Al menos parte de las capacidades de Claude Code no proviene del modelo de gran lenguaje subyacente en sí, sino del “marco” de software construido alrededor del modelo: guía cómo el modelo usa herramientas y proporciona protecciones e instrucciones importantes para estandarizar el comportamiento del modelo.

Ahora estas protecciones e instrucciones son visibles con total claridad para los competidores.

Advertencia para todo el ecosistema de herramientas de agentes de IA

Esta filtración no va a acabar con Anthropic, pero les entrega a todos los competidores un curso de ingeniería gratuito: cómo construir agentes de programación con IA a nivel de producción, y qué direcciones de herramientas merecen una inversión prioritaria.

El valor real del contenido filtrado no está en el código en sí, sino en la hoja de ruta del producto que revelan los indicadores de funcionalidades. KAIROS, el mecanismo anti-destilación: estos son detalles estratégicos que los competidores pueden anticipar ahora y a los que pueden reaccionar con ventaja. El código puede reestructurarse, pero una sorpresa estratégica, una vez filtrada, no se puede recuperar.

VI. Revelaciones profundas para la programación de Agentes

Esta filtración es un espejo que refleja varias tesis centrales de la ingeniería de AI Agent actual:

1. Los límites de las capacidades del Agente dependen en gran medida de la “capa de marco”, más que del modelo en sí

La exposición de 500.000 líneas de código de Claude Code revela un hecho relevante para toda la industria: con el mismo modelo base, al combinarse con distintos marcos de orquestación de herramientas, mecanismos de gestión de memoria y sistemas de permisos, se generan capacidades de Agente completamente diferentes. Esto significa que “quién tiene el modelo más fuerte” ya no es el único eje de competencia: “quién tiene una ingeniería de marco más refinada” también es igual de crucial.

2. La autonomía de largo alcance es el próximo campo de batalla

La existencia del proceso guardián KAIROS indica que la siguiente fase de competencia de la industria se centrará en “lograr que el Agente continúe trabajando de manera efectiva incluso sin supervisión humana”. La integración de memoria en segundo plano, la transferencia de conocimiento entre sesiones, el razonamiento autónomo durante la inactividad: una vez que estas capacidades maduren, cambiarán por completo el patrón básico de colaboración entre Agentes y seres humanos.

3. La anti-destilación y la protección de la propiedad intelectual se convertirán en nuevas lecciones fundamentales de la ingeniería de IA

Anthropic implementó un mecanismo de anti-destilación a nivel de código, lo que sugiere que un nuevo campo de ingeniería está tomando forma: cómo evitar que los propios sistemas de IA se usen por competidores para la captación de datos de entrenamiento. Esto no solo es un problema técnico, sino que también evolucionará hacia un nuevo campo de batalla de carácter legal y comercial.

4. La seguridad de la cadena de suministro es el talón de Aquiles de las herramientas de IA

Cuando las herramientas de programación con IA se distribuyen a través de gestores de paquetes de software públicos como npm, se enfrentan al mismo riesgo de ataques a la cadena de suministro que el resto del software de código abierto. Y la particularidad de las herramientas de IA es que, una vez insertado un backdoor, el atacante obtiene no solo permisos de ejecución de código, sino una penetración profunda del flujo completo de desarrollo.

5. Cuanto más complejo es el sistema, más se necesita un guardián automatizado de publicación

“Con un .npmignore mal configurado o un campo files en package.json se puede exponer todo.” Para cualquier equipo que construya productos de Agentes de IA, esta lección no requiere pagar un costo tan alto para aprenderla: introducir revisiones automáticas del contenido a publicar dentro de la canalización CI/CD debería ser una práctica estándar, no un remedio después de “apagar el incendio”.

Epílogo

Hoy es 1 de abril de 2026, Día de los Inocentes. Pero esto no es un chiste.

Anthropic cometió el mismo error dos veces en 13 meses. El código fuente ya se ha reflejado en todo el mundo; las solicitudes de eliminación bajo DMCA no alcanzan la velocidad de los forks. Esa hoja de ruta del producto que debería haberse mantenido en el entorno interno ahora es una referencia para todos.

Para Anthropic, esto es una lección dolorosa.

Para toda la industria, es un momento inesperadamente transparente: nos permite ver cómo, agente de programación con IA a la vanguardia de hoy, se construye paso a paso, línea por línea.