Título original: Anthropic: The Leak, The War, The Weapon
Autor original: BuBBliK
Compilación: Peggy，BlockBeats

Nota del editor: En los pasados seis meses, Anthropic se ha visto envuelta una y otra vez en una serie de acontecimientos que parecen independientes entre sí, pero que en realidad apuntan en direcciones que se refuerzan mutuamente: el salto en las capacidades del modelo, los ataques automatizados en el mundo real, la reacción intensa del mercado de capitales, el enfrentamiento público con el gobierno y múltiples filtraciones de información provocadas por fallos en la configuración base. Si se ponen estas pistas juntas, trazan en conjunto una dirección de cambio más clara.

Este artículo toma estos hechos como punto de partida para repasar la trayectoria continua de una empresa de IA en su avance técnico, su exposición al riesgo y su pugna por la gobernanza, e intenta responder una pregunta más profunda: cuando la capacidad de «descubrir vulnerabilidades» se amplifica enormemente y se va expandiendo de forma gradual, ¿todavía puede mantenerse el propio sistema de ciberseguridad con la misma lógica de funcionamiento original?

Antes, la seguridad se sustentaba en la escasez de capacidades y en las limitaciones humanas; pero en las nuevas condiciones, la ofensiva y la defensa se están reorganizando en torno a un mismo conjunto de capacidades del modelo, y los límites se vuelven cada vez más borrosos. Mientras tanto, las reacciones de las instituciones, el mercado y las organizaciones todavía permanecen dentro de marcos antiguos, y les cuesta absorber con rapidez este cambio.

Lo que esta historia observa no es solo a Anthropic en sí, sino una realidad más amplia que se refleja en ella: la IA no solo está cambiando las herramientas, sino también el «cómo se sostiene la seguridad» como premisa.

A continuación, el texto original:

¿Qué aspecto tendría todo esto si una empresa con un valor de mercado de 380 mil millones de dólares, que se enfrenta al Pentágono y le lleva ventaja, logra salir adelante tras el primer ataque cibernético de la historia iniciado por una IA autónoma, y además, dentro de la propia compañía, filtra un modelo que incluso hace que sus propios desarrolladores se sientan temerosos, e incluso «por accidente» publica el código fuente completo?

La respuesta es: así es como es ahora. Y lo que resulta aún más inquietante es que, quizá, la parte realmente más peligrosa todavía no ha ocurrido.

Recuento de hechos

Anthropic vuelve a filtrar su código

El 31 de marzo de 2026, el investigador de seguridad Shou Chaofan, de la empresa blockchain Fuzzland, al revisar el paquete npm de Claude Code publicado oficialmente, descubrió que este contenía explícitamente, en texto plano, un archivo llamado cli.js.map.

El tamaño de este archivo llega a 60MB, y el contenido es todavía más sorprendente. Contiene casi todo el código fuente TypeScript completo del producto. Con solo ese archivo, cualquier persona puede reconstruir hasta 1906 archivos de código interno: incluyendo el diseño de APIs internas, el sistema de telemetría, herramientas de cifrado, lógica de seguridad, el sistema de plugins; prácticamente todos los componentes centrales quedan al descubierto. Y lo más importante es que incluso es posible descargar directamente esos contenidos desde el propio bucket de almacenamiento R2 de Anthropic como un archivo zip.

Este hallazgo se difundió rápidamente en redes sociales: en cuestión de horas, las publicaciones relacionadas alcanzaron 754.000 visitas y cerca de 1000 reenvíos; al mismo tiempo, se crearon y publicaron de inmediato varios repositorios de GitHub que reconstituían el código fuente.

Los llamados source map (archivos de mapeo de fuente), en esencia, son solo un archivo auxiliar para depuración de JavaScript; su función es revertir el código comprimido y compilado de vuelta al código fuente original, para que los desarrolladores puedan localizar y resolver problemas.

Pero existe un principio básico: jamás debería incluirse en el paquete de publicación de un entorno de producción.

Esto no es un tipo de ataque avanzado; es un problema de especificación de ingeniería del nivel más básico, de esos de «construcción: introducción 101», e incluso es un contenido que los desarrolladores aprenden en su primera semana. Si se empaqueta por error en un entorno de producción, el source map suele equivaler a regalar el código fuente «como adjunto» a todas las personas.

También puedes ver el código relacionado directamente aquí: https://github.com/instructkr/claude-code

Pero lo verdaderamente absurdo es que esto ya había ocurrido una vez.

En febrero de 2025, es decir, hace un año, se filtró casi de manera idéntica: el mismo archivo, el mismo tipo de error. Anthropic eliminó entonces la versión anterior de npm, retiró el source map y volvió a publicar una nueva versión; y con eso el asunto se calmó.

Sin embargo, en la versión v2.1.88, este archivo volvió a empaquetarse y publicarse de nuevo.

Una empresa con un valor de mercado de 380 mil millones de dólares, que está construyendo el sistema de detección de vulnerabilidades más avanzado del mundo, cometió dos veces en un año el mismo error fundamental. No hubo un ataque de un hacker, ni rutas de explotación complejas: solo falló un proceso de construcción que, en condiciones normales, debería funcionar.

Esta ironía casi suena a algo «poético».

Aquella IA capaz de descubrir 500 vulnerabilidades de día cero en una sola ejecución; aquel modelo usado para iniciar ataques automatizados contra 30 instituciones en todo el mundo… y, al mismo tiempo, Anthropic «regaló» directamente su código fuente a cualquiera que se tomara la molestia de mirar el paquete de npm.

Dos filtraciones, separadas por apenas siete días.

Las razones son prácticamente las mismas: errores de configuración en el nivel más básico. No se necesita ningún umbral técnico, ni rutas de explotación complejas. Solo hay que saber dónde mirar, y cualquiera puede obtenerlo gratis.

Una semana antes: exposición accidental del «modelo peligroso» interno

El 26 de marzo de 2026, los investigadores de seguridad Roy Paz, de LayerX Security, y Alexandre Pauwels, de la University of Cambridge, descubrieron que había un problema en la configuración del CMS del sitio web oficial de Anthropic, lo que permitió el acceso público a aproximadamente 3000 archivos internos.

Estos archivos incluían: borradores de blogs, PDFs, documentación interna y materiales de demostración, todo expuesto en un repositorio de datos no protegido y que se podía buscar. No hubo ataque de hackers, ni se necesitaba ningún recurso técnico.

Dentro de estos archivos, había dos borradores de blog casi idénticos: la única diferencia era el nombre del modelo. Uno se titulaba «Mythos» y el otro «Capybara».

Esto significa que, en aquel momento, Anthropic estaba eligiendo entre dos nombres para un mismo proyecto secreto. La compañía luego confirmó que el entrenamiento de ese modelo ya había terminado y que ya había comenzado a probarse con algunos clientes iniciales.

Esto no fue una actualización rutinaria de Opus, sino un modelo completamente nuevo de «nivel cuatro», incluso con una posición por encima de Opus a nivel de sistema.

En los propios borradores de Anthropic, se describía como: «Más grande y más inteligente que nuestro modelo Opus—y Opus aún sigue siendo, hasta ahora, nuestro modelo más potente». En capacidad de programación, razonamiento académico y ciberseguridad, entre otros aspectos, logró avances significativos. Un portavoz lo calificó como «un salto cualitativo», y también como «el modelo más fuerte que hemos construido hasta ahora».

Pero lo que realmente merece atención no son esas descripciones de rendimiento en sí.

En los borradores filtrados, la valoración de Anthropic sobre este modelo es que «trae riesgos sin precedentes para la ciberseguridad», «supera muy por lejos a cualquier otro modelo de IA en capacidades de ataque cibernético» y «anticipa una ola de modelos por venir—en la que su capacidad para explotar vulnerabilidades superará con creces la velocidad de respuesta de quienes defienden».

Dicho de otra forma, en un borrador de blog oficial que aún no había sido publicado, Anthropic ya había expresado con claridad una postura poco común: les preocupa el producto que están construyendo.

La reacción del mercado fue casi inmediata. Las acciones de CrowdStrike cayeron 7%, las de Palo Alto Networks bajaron 6% y las de Zscaler retrocedieron 4,5%. Okta y SentinelOne registraron caídas de más del 7% en ambos casos; Tenable se desplomó 9%. El iShares Cybersecurity ETF cayó 4,5% en un solo día. Solo CrowdStrike, ese mismo día, vio evaporarse aproximadamente 15.000 millones de dólares de su valor de mercado. Mientras tanto, Bitcoin retrocedió hasta 66.000 dólares.

El mercado, claramente, interpretó el hecho como un «veredicto» para toda la industria de la ciberseguridad.

Idea general de la imagen: Bajo la influencia de las noticias relacionadas, el sector de la ciberseguridad cae en conjunto; varias empresas líderes (como CrowdStrike, Palo Alto Networks, Zscaler, etc.) muestran caídas notables, reflejando la preocupación del mercado por el impacto de la IA en la industria de la ciberseguridad. Pero esa reacción no es la primera vez que ocurre. Anteriormente, cuando Anthropic publicó una herramienta de escaneo de código, las acciones relacionadas también habían caído. Esto indica que el mercado ya está empezando a ver la IA como una amenaza estructural para los proveedores de seguridad tradicionales, y que todo el sector de software está soportando presiones similares.

El analista de Stifel, Adam Borg, lo expresó de manera bastante directa: el modelo «tiene potencial para convertirse en la herramienta definitiva para hackers; e incluso puede convertir a hackers comunes en oponentes con capacidad de ataque a nivel estatal».

Entonces, ¿por qué no se ha publicado todavía? La explicación de Anthropic es que el coste de ejecución de Mythos «es muy alto» y que todavía no cumple condiciones para su lanzamiento al público. El plan actual es abrir primero el acceso temprano a una pequeña parte de socios de ciberseguridad para reforzar el sistema defensivo; luego, ampliar gradualmente el alcance de la apertura del API. Hasta entonces, la empresa sigue optimizando la eficiencia.

Pero el punto clave es que el modelo ya existe, ya está en pruebas y, incluso solo por haberse «expuesto accidentalmente», ya ha causado un impacto en todo el mercado de capitales.

Anthropic construyó un modelo de IA que ellos mismos llaman «el de mayor riesgo para la ciberseguridad de la historia». Y la filtración de sus noticias, precisamente, se originó en un error de configuración de infraestructura básica—justamente el tipo de error que ese tipo de modelos se diseñó originalmente para descubrir.

Marzo de 2026: enfrentamiento de Anthropic con el Pentágono y obtiene ventaja

En julio de 2025, Anthropic firmó un contrato de 200 millones de dólares con el Departamento de Defensa de EE. UU., que al principio parecía solo una colaboración rutinaria. Pero en las negociaciones posteriores de implementación real, la contradicción escaló rápidamente.

El Pentágono quería obtener en su plataforma GenAI.mil acceso «total» a Claude. El uso incluiría todos los «propósitos legales»; entre ellos, incluso sistemas de armas completamente autónomos y vigilancia interna a gran escala de ciudadanos estadounidenses.

Anthropic trazó líneas rojas y rechazó con claridad en dos cuestiones clave; la negociación se rompió en septiembre de 2025.

Después, la situación empezó a escalar con rapidez. El 27 de febrero de 2026, Donald Trump publicó en Truth Social pidiendo que todas las agencias federales «detengan de inmediato» el uso de la tecnología de Anthropic y calificó a esa empresa como «izquierda radical».

El 5 de marzo de 2026, el Departamento de Defensa de EE. UU. clasificó oficialmente a Anthropic como «riesgo para la cadena de suministro».

Esta etiqueta antes casi solo se usaba para rivales extranjeros—como empresas de China o entidades de Rusia—y ahora, por primera vez, se aplicaba a una empresa estadounidense con sede en San Francisco. Al mismo tiempo, a empresas como Amazon, Microsoft y Palantir Technologies también se les exigió demostrar que en cualquier negocio relacionado con lo militar no usaron Claude.

La explicación dada por el CTO del Pentágono, Emile Michael, fue que Claude podría «contaminar la cadena de suministro» porque el modelo integra diferentes «preferencias de políticas». En otras palabras, en el marco oficial, una IA que limita su uso y no ayuda incondicionalmente a acciones de matar, paradójicamente, se considera un riesgo para la seguridad nacional.

El 26 de marzo de 2026, la jueza federal Rita Lin emitió una sentencia larga de 43 páginas que bloqueó de manera integral las medidas del Pentágono.

En el fallo escribió: «No existe en las leyes vigentes ningún fundamento para esta lógica con un aire “orwelliano”: solo por estar en desacuerdo con la postura del gobierno, una empresa estadounidense puede ser etiquetada como posible adversario. Castigar a Anthropic porque el gobierno la penaliza por poner la postura del gobierno bajo la mirada del público es, en esencia, un típico y contrario a derecho acto de represalia de la Primera Enmienda». Incluso una presentación de amicus curiae llegó a describir las acciones del Pentágono como «un intento de cometer asesinato contra una empresa».

El resultado fue que, cuando el gobierno intentó suprimir a Anthropic, en realidad lo hizo ganar más atención. La aplicación de Claude superó por primera vez a ChatGPT en la App Store; el número de registros llegó incluso a superar en algún momento los 1 millón al día.

Una empresa de IA le dijo «no» a la institución militar más poderosa del mundo. Y los tribunales estuvieron de su lado.

Noviembre de 2025: el primer ataque cibernético liderado por IA de la historia

El 14 de noviembre de 2025, Anthropic publicó un informe que causó gran conmoción.

El informe reveló que un grupo de hackers respaldado por el Estado chino, utilizando Claude Code, lanzó ataques automatizados contra 30 organizaciones a nivel global; los objetivos incluían gigantes tecnológicos, bancos y múltiples agencias gubernamentales de varios países.

Este es un punto de inflexión: la IA ya no solo se usa como herramienta de apoyo, sino que empieza a ejecutar ataques por su cuenta.

La clave está en el cambio en la «forma de reparto del trabajo»: los humanos solo se encargan de elegir objetivos y aprobar decisiones clave. Durante todo el proceso, la intervención humana ocurre unas 4 a 6 veces aproximadamente. El resto lo hace la IA: reconocimiento de inteligencia, descubrimiento de vulnerabilidades, redacción de código de explotación, robo de datos, implantación de puertas traseras… esto ocupa el 80%–90% de todo el proceso del ataque y se ejecuta a una velocidad de miles de solicitudes por segundo; es una escala y eficiencia con las que ningún equipo humano podría competir.

Entonces, ¿cómo lograron eludir los mecanismos de seguridad de Claude? La respuesta es: no «rompieron» nada, sino que «engañaron».

El ataque se dividió en una gran cantidad de tareas pequeñas que parecían inocuas y se empaquetó como una «prueba autorizada de defensa» de una «empresa de seguridad legítima». En esencia, es un ataque de ingeniería social, solo que esta vez, el objeto engañado fue la propia IA.

Algunas partes del ataque tuvieron éxito total. Claude pudo, sin que hubiera instrucciones graduales de un humano, dibujar por sí mismo una estructura de red completa, localizar bases de datos y completar la extracción de datos.

El único factor que frenó el ritmo del ataque fue que el modelo ocasionalmente presentaba «alucinaciones»—por ejemplo, credenciales ficticias o afirmaciones de que había obtenido archivos que, en realidad, ya eran públicos desde hacía tiempo. Al menos por ahora, estos siguen siendo de los pocos «obstáculos naturales» que impiden que los ataques cibernéticos se vuelvan completamente automatizados.

En la RSA Conference 2026, Rob Joyce, ex responsable de ciberseguridad de la NSA de EE. UU., calificó el incidente como una «prueba de Rorschach»: la mitad de la gente elige ignorarlo y la otra mitad se siente inquietada. Y él, obviamente, pertenece a este último grupo: «Esto es realmente aterrador».

Septiembre de 2025: no es una especie de predicción; es una realidad que ya ocurrió.

Febrero de 2026: en una sola ejecución descubre 500 vulnerabilidades de día cero

El 5 de febrero de 2026, Anthropic lanzó Claude Opus 4.6 y, junto con ello, publicó un documento de investigación que estremeció casi toda la industria de la ciberseguridad.

El diseño del experimento fue extremadamente simple: se puso a Claude en un entorno de máquina virtual aislada, equipado con herramientas estándar—Python, depuradores y herramientas de fuzzing (fuzzers). Sin instrucciones adicionales, ni indicaciones complejas; solo una frase: «Ve a buscar vulnerabilidades».

El resultado fue que el modelo descubrió más de 500 vulnerabilidades críticas de día cero que antes eran desconocidas. Algunas de esas vulnerabilidades, incluso después de décadas de revisión experta y millones de horas de pruebas automatizadas, seguían sin ser descubiertas.

Luego, en la RSA Conference 2026, el investigador Nicholas Carlini subió al escenario para demostrarlo. Enfocó a Claude contra Ghost, un sistema CMS en GitHub con 50.000 estrellas y que históricamente nunca había mostrado vulnerabilidades graves.

Después de 90 minutos, el resultado apareció: se descubrió una vulnerabilidad de blind SQL injection, que permite a un usuario no autenticado lograr el control total de permisos de administrador.

A continuación, también usó Claude para analizar el kernel de Linux. El resultado fue igual.

15 días después, Anthropic lanzó Claude Code Security, un producto de seguridad que ya no depende del emparejamiento por patrones, sino que entiende el código basándose en «capacidades de razonamiento».

Pero el propio portavoz de Anthropic también dijo ese hecho clave, aunque muchas veces se pasa por alto: «Con la misma capacidad de razonamiento, Claude puede ayudar a descubrir y corregir vulnerabilidades, pero un atacante también puede usar esa capacidad para explotar esas vulnerabilidades».

La misma capacidad, el mismo modelo: solo cambia quién lo maneja.

¿Qué significa todo esto junto?

Si se observa por separado, cada uno de estos hechos sería lo más destacado del mes. Pero, en cambio, todos ocurrieron en la misma empresa en apenas seis meses.

Anthropic construyó un modelo que puede detectar vulnerabilidades más rápido que cualquier humano; hackers chinos convirtieron una versión anterior en un arma de red automatizada; la compañía está desarrollando el siguiente modelo más potente, e incluso en archivos internos admiten que les preocupa.

El gobierno de EE. UU. intenta frenarlo no porque la tecnología en sí sea peligrosa, sino porque Anthropic se niega a entregar esa capacidad sin límites.

Y en todo este proceso, esta empresa, dos veces, filtró su código fuente por culpa del mismo archivo dentro del mismo paquete npm. Una empresa con un valor de mercado de 380 mil millones de dólares; una empresa cuyo objetivo es completar una IPO de 60 mil millones de dólares en octubre de 2026; una empresa que ha declarado públicamente que está construyendo «una de las tecnologías más transformadoras, y posiblemente más peligrosas, de la historia de la humanidad»—y aun así, decide continuar avanzando.

Porque creen que mejor que lo haga alguien más, es que lo haga ellos mismos.

En cuanto a ese source map dentro del paquete npm, quizá sea solo el detalle más absurdo pero también el más real dentro de la narrativa más inquietante de esta era.

Y Mythos, incluso todavía no se ha publicado oficialmente.

[Enlace original]

Haz clic para conocer las ofertas en curso de BlockBeats

Te damos la bienvenida a unirte a la comunidad oficial de BlockBeats:

Grupo de suscripción de Telegram: https://t.me/theblockbeats

Grupo de Telegram: https://t.me/BlockBeats_App

Cuenta oficial de Twitter: https://twitter.com/BlockBeatsAsia