La filtración del código de Claude de Anthropic revela herramientas de agentes autónomos y modelos no lanzados

Anthropic expuso el código fuente completo de Claude Code después de que un archivo de mapas de origen mal configurado se publicara en npm, ofreciendo una mirada poco común dentro de uno de los productos comerciales más importantes de la empresa.

El archivo, incluido con la versión 2.1.88, contenía casi 60 megabytes de material interno, incluyendo alrededor de 512.000 líneas de TypeScript en 1.906 archivos. Chaofan Shou, un ingeniero de software en prácticas en Solayer Labs, señaló primero la filtración, que rápidamente se extendió en X y GitHub a medida que los desarrolladores empezaron a examinar la base de código.

El anuncio mostró cómo Anthropic construyó Claude Code para mantenerse en el rumbo durante sesiones largas de codificación. Uno de los hallazgos más claros fue un sistema de memoria de tres capas centrado en un archivo liviano llamado MEMORY.md, que almacena referencias cortas en lugar de información completa. Las notas de proyecto con más detalle se guardan por separado y se incorporan solo cuando es necesario, mientras que el historial de sesiones pasadas se busca de forma selectiva en lugar de cargarse todo de una vez. El código también le indica al sistema que verifique su memoria contra el código real antes de actuar, un diseño pensado para reducir errores y suposiciones falsas.

La fuente también sugiere que Anthropic ha estado desarrollando una versión más autónoma de Claude Code que la que los usuarios ven actualmente. Una función mencionada repetidamente bajo el nombre KAIROS parece describir un modo daemon en el que el agente puede continuar operando en segundo plano en lugar de esperar indicaciones directas.

Otro proceso, llamado autoDream, parece encargarse de la consolidación de la memoria durante periodos de inactividad, reconciliando contradicciones y convirtiendo observaciones tentativas en hechos verificados. Los desarrolladores que revisaron el código también encontraron docenas de indicadores de funciones ocultas, incluidas referencias a automatización del navegador a través de Playwright.

La filtración también expuso nombres internos de modelos y datos de rendimiento. Según la fuente, Capybara se refiere a una variante de Claude 4.6, Fennec corresponde a un lanzamiento de Opus 4.6 y Numbat permanece en pruebas previas al lanzamiento.

Los puntos de referencia internos citados en el código mostraron la versión más reciente de Capybara con una tasa de falsas afirmaciones del 29% al 30%, en aumento desde el 16,7% en una iteración anterior. La fuente también mencionó un contrapeso de asertividad diseñado para evitar que el modelo se vuelva demasiado agresivo al refactorizar el código del usuario.

Una de las divulgaciones más delicadas implicó una función descrita como Undercover Mode. El prompt del sistema recuperado sugiere que Claude Code podría usarse para contribuir a repositorios públicos de código abierto sin revelar que se involucró IA. Las instrucciones le dicen específicamente al modelo que evite exponer identificadores internos, incluidos los nombres clave de Anthropic, en mensajes de commit o en registros públicos de git.

Los materiales filtrados también expusieron el motor de permisos de Anthropic, la lógica de orquestación para flujos de trabajo de múltiples agentes, los sistemas de validación de bash y la arquitectura de servidores MCP, ofreciendo a los competidores una visión detallada de cómo funciona Claude Code. La divulgación también puede dar a los atacantes un panorama más claro para crear repositorios diseñados para explotar el modelo de confianza del agente. El texto pegado dice que un desarrollador ya había comenzado a reescribir partes del sistema en Python y Rust con el nombre Claw Code en cuestión de horas tras la filtración.

La exposición de la fuente coincidió con un ataque separado de la cadena de suministro que involucró versiones maliciosas del paquete axios de npm distribuidas el 31 de marzo. Los desarrolladores que instalaron o actualizaron Claude Code vía npm durante ese periodo también pudieron haber incorporado la dependencia comprometida, que supuestamente contenía un troyano de acceso remoto. Investigadores de seguridad instaron a los usuarios a revisar sus archivos lock, rotar credenciales y, en algunos casos, considerar reinstalaciones completas del sistema operativo en las máquinas afectadas.

El incidente marca el segundo caso conocido, en aproximadamente trece meses, en el que Anthropic expuso detalles técnicos internos sensibles, tras un episodio anterior en febrero de 2025 relacionado con información de modelos no lanzados.

Tras la última brecha, Anthropic designó su instalador binario independiente como el método preferido para instalar Claude Code porque elude la cadena de dependencias de npm. Se recomendó a los usuarios que permanecen en npm que se ajustaran a versiones seguras verificadas publicadas antes del paquete comprometido.

                    **Divulgación:** Este artículo fue editado por Estefano Gomez. Para más información sobre cómo creamos y revisamos contenido, consulta nuestra Política Editorial.