La filtración del código de Claude de Anthropic revela herramientas de agentes autónomos y modelos no lanzados

Anthropic expuso el código fuente completo de Claude Code después de que se publicara en npm un archivo de mapas de origen mal configurado, ofreciendo una rara mirada al interior de uno de los productos comerciales más importantes de la compañía.

El archivo, incluido con la versión 2.1.88, contenía casi 60 megabytes de material interno, incluyendo alrededor de 512.000 líneas de TypeScript en 1.906 archivos. Chaofan Shou, un ingeniero de software en prácticas en Solayer Labs, señaló primero la filtración, que se propagó rápidamente por X y GitHub a medida que los desarrolladores comenzaron a examinar la base de código.

El anuncio mostró cómo Anthropic construyó Claude Code para mantenerse en el rumbo durante largas sesiones de codificación. Uno de los hallazgos más claros fue un sistema de memoria de tres capas centrado en un archivo ligero llamado MEMORY.md, que almacena referencias breves en lugar de información completa. Las notas de proyecto con más detalle se guardan por separado y se incorporan solo cuando hace falta, mientras que el historial de sesiones pasadas se busca de forma selectiva en vez de cargarse todo de una vez. El código también indica al sistema que compruebe su memoria con el código real antes de actuar, un diseño pensado para reducir errores y suposiciones falsas.

La fuente también sugiere que Anthropic ha estado desarrollando una versión más autónoma de Claude Code que la que los usuarios ven actualmente. Una función citada repetidamente con el nombre KAIROS parece describir un modo daemon en el que el agente puede seguir operando en segundo plano en lugar de esperar indicaciones directas.

Otro proceso, llamado autoDream, parece encargarse de la consolidación de memoria durante periodos de inactividad reconciliando contradicciones y convirtiendo observaciones tentativas en hechos verificados. Los desarrolladores que revisaron el código también encontraron docenas de banderas de funciones ocultas, incluidas referencias a automatización del navegador a través de Playwright.

La filtración también expuso nombres internos de modelos y datos de rendimiento. Según la fuente, Capybara se refiere a una variante de Claude 4.6, Fennec corresponde a una versión Opus 4.6 y Numbat permanece en pruebas previas al lanzamiento.

Los puntos de referencia internos citados en el código mostraron la versión más reciente de Capybara con una tasa de afirmaciones falsas del 29% al 30%, frente al 16,7% en una iteración anterior. La fuente también mencionó un contrapeso de asertividad diseñado para evitar que el modelo se vuelva demasiado agresivo al refactorizar el código del usuario.

Una de las revelaciones más sensibles involucró una función descrita como Undercover Mode. El mensaje de sistema recuperado sugiere que Claude Code podría usarse para contribuir a repositorios públicos de código abierto sin revelar que se involucró una IA. Las instrucciones indican específicamente que el modelo evite exponer identificadores internos, incluyéndose los nombres en clave de Anthropic, en mensajes de confirmación o en logs públicos de git.

Los materiales filtrados también expusieron el motor de permisos de Anthropic, la lógica de orquestación para flujos de trabajo de múltiples agentes, sistemas de validación bash y la arquitectura del servidor MCP, brindando a los competidores una mirada detallada de cómo funciona Claude Code. La divulgación también podría dar a los atacantes un mapa más claro para crear repositorios diseñados para explotar el modelo de confianza del agente. El texto pegado dice que un desarrollador ya había comenzado a reescribir partes del sistema en Python y Rust bajo el nombre Claw Code en cuestión de horas después de la filtración.

La exposición de la fuente coincidió con un ataque separado a la cadena de suministro que involucró versiones maliciosas del paquete axios de npm distribuidas el 31 de marzo. Los desarrolladores que instalaron o actualizaron Claude Code a través de npm durante ese periodo también pudieron haber incorporado la dependencia comprometida, que supuestamente contenía un troyano de acceso remoto. Los investigadores de seguridad instaron a los usuarios a revisar sus archivos lockfiles, rotar credenciales y, en algunos casos, considerar reinstalaciones completas del sistema operativo en las máquinas afectadas.

El incidente marca el segundo caso conocido en aproximadamente trece meses en el que Anthropic expuso detalles técnicos internos sensibles, después de un episodio anterior en febrero de 2025 que involucró información de modelos no lanzados.

Tras la última brecha, Anthropic designó su instalador binario independiente como el método preferido para instalar Claude Code porque evita la cadena de dependencias de npm. A quienes permanecen en npm se les recomendó fijar (pin) versiones seguras verificadas publicadas antes del paquete comprometido.

                    **Divulgación:** Este artículo fue editado por Estefano Gomez. Para más información sobre cómo creamos y revisamos contenido, consulta nuestra Política Editorial.