¡El código fuente de 510,000 líneas de un gigante de la IA en EE. UU. se filtra! ¿Los desarrolladores están copiando directamente? Los abogados advierten que hay riesgos

Debido a que un empleado, por error, filtró el código fuente de 512.000 líneas de Claude Code, toda la industria pudo conocer la arquitectura interna del producto del prometedor gigante de la inteligencia artificial (IA) Anthropic, además de que se adelantó la exposición del plan de productos de sus mascotas electrónicas y su asistente de IA persistente.

El 31 de marzo, hora local, por un fallo al empaquetar un paquete npm, el código fuente de Claude Code se filtró. En pocas horas, el código filtrado empezó a difundirse en GitHub, alcanzando más de 10.000 estrellas y más de 20.000 veces de copias de seguridad.

Ante esto, Anthropic respondió a un reportero de 《Diario de Economía de China》 (en adelante, el reportero del medio) que se trata de un problema de empaquetado al publicarse causado por error humano (human error), y no de una vulnerabilidad de seguridad.

Los expertos señalaron que esta filtración ofrece a desarrolladores pequeños y medianos la oportunidad de “copiar y pegar” para mejorar la capacidad de sus productos, pero el uso comercial de ese código enfrenta riesgos legales.

Se “publicó como código abierto” el código fuente de Claude Code de 510.000 líneas

El 31 de marzo, hora local, Chaofan Shou, un investigador becario de la empresa de seguridad Web3 FuzzLand, divulgó en la plataforma social X que el código fuente de la herramienta de programación con IA Claude Code, propiedad de Anthropic, se había filtrado accidentalmente.

Según su descripción, al revisar el paquete npm de Claude Code encontró que un archivo cli.js.map con un tamaño de 57MB apuntaba a un enlace de un bucket de almacenamiento, el cual contenía 1.900 archivos TypeScript, en total más de 512.000 líneas de código fuente completo sin ofuscación ni decompilación. Esto significa que los desarrolladores pueden echar un vistazo fácilmente e incluso reconstruir la estructura interna de Claude Code.

La raíz del problema no es compleja: el archivo source map, que debía haberse excluido en la compilación de producción, debido a una omisión en la configuración .npmignore o a un ajuste inadecuado del proceso de compilación, se publicó junto con el resto en npm registry, una plataforma pública. En pocas horas, el código relacionado se subió a GitHub y se propagó ampliamente, e incluso ya había desarrolladores que, basándose en el contenido filtrado, reconstruyeron completamente Claude Code.

Tras que el incidente se intensificara, Anthropic actualizó con urgencia el paquete npm y eliminó los archivos correspondientes, además de borrar versiones anteriores. Pero ya era tarde.

El reportero del medio se puso en contacto con Anthropic para confirmar este asunto. La empresa respondió: “Más temprano hoy, una publicación de Claude Code incluyó parte del código fuente interno. Este incidente no involucró ni expuso ningún dato o credencial sensible del cliente. Esto se debe a un problema de empaquetado en la publicación causado por error humano, y no a una vulnerabilidad de seguridad. Estamos implementando medidas para evitar que ocurra algo similar nuevamente”.

Este es el segundo gran incidente de filtración que sucede en una semana para Anthropic. El 26 de marzo, la empresa acababa de filtrarse, debido a un error de configuración en CMS (sistema de gestión de contenidos), información de un modelo llamado Claude Mythos y unos 3.000 activos no publicados. Con anterioridad, Claude Code también presentó problemas de filtración de código fuente y de prompts del sistema en febrero de 2025 y en diciembre de 2024, respectivamente. Los errores humanos frecuentes están erosionando de manera constante la confianza del mercado en sus capacidades de seguridad.

“Filtración a nivel de producción”: se adelantó la exposición de mascotas electrónicas no publicadas y de un asistente de IA persistente

A medida que los desarrolladores profundizaron en el análisis del código filtrado, se fue aclarando gradualmente un sistema interno de Claude Code mucho más allá de lo que el mundo exterior esperaba. Esto no es una simple herramienta de encapsulación de API, sino un entorno de desarrollo completo a nivel de producción.

Según el análisis del repositorio de GitHub, la base de código filtrada incluye más de 40 herramientas de control de permisos, un motor de consultas con 46.000 líneas de código, un sistema de coordinación multiagente, funciones de puente con IDE y un mecanismo de memoria persistente, entre otros. En el código también se encontraron 35 banderas de funciones en tiempo de compilación y más de 120 variables de entorno no publicadas. A través de la variable de entorno USER_TYPE=ant, los empleados de Anthropic pueden desbloquear todas las funciones internas.

Algunos programadores señalaron que el contenido filtrado de Claude muestra que no es un asistente de programación con IA, sino más bien como un sistema operativo.

Lo que resulta aún más llamativo son varias funciones experimentales que aún no se han publicado.

Primero, el sistema de mascota electrónica de terminal llamado BUDDY.

El código muestra que BUDDY es un sistema de acompañante de IA similar al “Tamagotchi” (Tamagotchi) de mascotas electrónicas que se puso de moda en todo el mundo en los años 90. Su mecanismo central combina el ID de usuario y un algoritmo seudorrandom para generar personajes únicos, incluyendo especie, rareza, apariencia y atributos. El sistema también admite configuraciones como “sorteo de cartas” y variantes brillantes, y el modelo genera automáticamente “descripciones del alma”. Cabe destacar que, los atributos clave de la mascota no se almacenan, sino que se calculan y generan dinámicamente con base en el ID de usuario, lo que le da una unicidad estable e inalterable.

Segundo, el asistente de IA persistente llamado KAIROS.

KAIROS está oculto detrás de las banderas de compilación y no se ve en versiones públicas. Una vez activado, el sistema puede monitorear de forma continua la conducta del usuario, registrar información y ejecutar tareas de manera proactiva, al mismo tiempo que mantiene detallados registros de operaciones. En combinación con el mecanismo de backend llamado autoDream, el sistema también puede organizar automáticamente la memoria en periodos de baja actividad, convirtiendo los contenidos de conversaciones a corto plazo en conocimientos estructurados a largo plazo. Este diseño se considera muy parecido al proceso de consolidación de memorias humanas durante el sueño.

Un investigador de Byte AI Agent dijo que lo que más le sorprende es el modo KAIROS: GitHub Webhook + Cron + MCP Channel + el backend Dream para ordenar la memoria; en esencia, se trata de llevar el Agent desde una herramienta hacia un empleado digital.

Además, para evitar filtraciones de información interna, Anthropic también diseñó un “Undercover Mode” (modo encubierto), que limita que los empleados mencionen los códigos de modelo internos o nombres de herramientas en contribuciones de código abierto. Asimismo, su API también integra un mecanismo de “data poisoning” (envenenamiento de datos): mediante la inyección de definiciones falsas de herramientas (fake_tools), se interfiere con la posible extracción de datos y con el comportamiento de destilación del modelo, reduciendo así el rendimiento de los modelos de la competencia.

Estos diseños muestran que Anthropic ha invertido mucho esfuerzo tanto en protección técnica como en estrategias de competencia, pero esta vez el “error humano” dejó expuestas debilidades a nivel de ejecución de procesos.

Tras la fiesta de los desarrolladores: el “copiar y pegar” podría enfrentar riesgos legales

Como un producto de referencia para OpenAI, Claude Code compite desde hace tiempo con herramientas como GitHub Copilot. Aunque esta filtración accidental no fue un código abierto oficial, muchos desarrolladores la vieron como una oportunidad única para aprender.

Hu Yanping, profesor especialmente contratado de la Universidad de Finanzas y Economía de Shanghái, dijo al reportero del medio que el impacto principal de esta filtración en el ecosistema de la IA es poder ayudar a otros equipos de agentes a elevar el nivel de sus productos y ayudar a los desarrolladores a entender la hoja de ruta tecnológica. Reveló que algunos técnicos efectivamente analizaron, reconstruyeron, modificaron y probaron durante la noche, e incluso intentaron desplegar y reproducir, realizando una investigación sistemática sobre los archivos filtrados. “Para desarrolladores que originalmente tienen capacidades promedio en el ámbito de AI Agent, sin duda es una oportunidad de ‘copiar y pegar’, que permite alinear rápidamente el nivel del producto. E incluso, al copiar y pegar, si se modifica el trabajo y luego se optimiza localmente, podría ser mejor que en algunos aspectos del marco de Claude Code”.

Para Hu Yanping, la filtración del código sí ofrece una gran ayuda a desarrolladores pequeños y medianos, pero quizá no tanto para las grandes empresas. “Porque las grandes empresas ya sea están realizando ingeniería inversa, o en el proceso de crear marcos de productos más sistemáticos: para que productos como Claude Code tengan éxito, además de la fortaleza de un producto en particular, también depende de construir todo el ecosistema de la aplicación, incluyendo el ecosistema de Skills, el ecosistema de desarrolladores y de socios, y cómo, mediante un servicio de IA de pila completa (full-stack AI), hacer corresponder el gran ecosistema formado por cientos de millones de dispositivos y cientos de millones de usuarios”.

Hu Yanping considera que la filtración del código fuente de Claude Code ha generado gran atención y debate porque Anthropic es una de las únicas compañías de IA del mundo, especialmente en To B y capacidades de código, con una de las habilidades full-stack más fuertes; la otra es OpenAI. Además, en este tipo de productos, Anthropic ha ido más lejos que OpenAI y su producto es más potente. “A partir del código filtrado, se observa que el Claude Code integra de manera orgánica las prácticas del Prompt Engineering, Context Engineering y Harness Engineering que se discuten activamente en la industria. En particular, Harness Engineering y la funcionalidad de poder operar con un computador tras la actualización permiten que la industria vea la dirección del siguiente paso del desarrollo. Como Agent de toma de control (takeover) como sistema operativo de la aplicación y agente de acción, se está volviendo omnipotente; en el futuro se convertirá en una inteligencia digital general distinta a la inteligencia general incorporada.”

Sin embargo, al recibir la entrevista del reportero del medio, el abogado Wu Junling, de la firma de abogados Guohao, recordó que este incidente es más apropiado definirse como una divulgación errónea de source map que permitió que parte del código fuente pudiera reconstruirse, en lugar de una autorización activa del titular para publicar el código fuente. Por lo tanto, aunque el código fuente pueda ser obtenido por terceros, no significa necesariamente que cualquier persona tenga la autorización legal para copiar, reescribir, integrar o usar comercialmente.

Ella analizó que, para empresas y desarrolladores, si después de descargar el código relacionado lo usan para copiar, reescribir, insertarlo en sus propios productos, o con base en ello optimizar o entrenar productos competitivos similares, normalmente pueden activarse riesgos compuestos en materia de derechos de autor, secretos comerciales e incluso competencia desleal. Aunque, dado que los códigos fuente ya se han difundido ampliamente, será claramente más difícil que el titular reclame después el secreto comercial sobre el conjunto del código fuente, esto no excluye que aún pueda reclamar derechos sobre detalles que no se hayan divulgado, o que pueda seguir reclamando derechos sobre conductas de obtención, difusión y uso indebidos realizadas en etapas tempranas. Para los usuarios actuales de Anthropic, sus términos oficiales también limitan explícitamente el uso de su servicio para desarrollar competidores, entrenar competidores con IA y servicios de descompilación, ingeniería inversa o copia; por lo tanto, el uso correspondiente también puede agregar riesgos de incumplimiento contractual.

También señaló que, en comparación, mirar el código relacionado únicamente con fines de investigación o análisis de seguridad suele implicar un riesgo menor que la reutilización real; pero en cuanto se entra en actividades de desarrollo o comerciales, el riesgo legal aumenta de forma significativa.

Actualmente, varios repositorios de GitHub que alojan códigos fuente filtrados han recibido avisos de eliminación basados en la Digital Millennium Copyright Act (DMCA) y ya han sido retirados. Esto también indica que se está llevando a cabo una disputa legal en torno a este incidente.

(Fuente: Diario de Economía de China)