Claude Code fuente filtrada: el efecto mariposa causado por un archivo .map

Artículo: Claude

I. Origen

En la madrugada del 31 de marzo de 2026, un tuit en la comunidad de desarrolladores desató una gran polémica.

Chaofan Shou, un becario de una empresa de seguridad blockchain, descubrió que el paquete npm oficial de Anthropic incluía un archivo source map, dejando el código fuente completo de Claude Code expuesto públicamente. De inmediato publicó este hallazgo en X e incluyó un enlace de descarga directa.

Esta publicación estalló en la comunidad de desarrolladores como un cohete de señales. En cuestión de horas, más de 512k líneas de código TypeScript se reflejaron en GitHub y miles de desarrolladores las analizaron en tiempo real.

Este es el segundo gran incidente de filtración de información que sufre Anthropic en menos de una semana.

Justo cinco días antes (el 26 de marzo), un error de configuración en el CMS de Anthropic hizo que se publicaran cerca de 3.000 archivos internos, que incluían borradores de publicaciones de blog para el modelo “Claude Mythos” que se lanzará próximamente.

II. ¿Cómo ocurrió la filtración?

La causa técnica de este incidente resulta casi para reírse—la causa raíz fue que el paquete npm incluyó por error un archivo source map (.map).

La función de este tipo de archivos es mapear el código de producción comprimido y ofuscado de vuelta al código fuente original, para localizar números de línea de errores durante la depuración. Y en ese .map, hay un enlace que apunta a un paquete zip dentro del almacenamiento Cloudflare R2 de Anthropic.

Shou y otros desarrolladores descargaron directamente ese paquete zip, sin ningún método de hacker. El archivo estaba ahí, completamente a la vista.

La versión implicada es la v2.1.88 de @anthropic-ai/claude-code, con un archivo JavaScript source map de 59,8MB.

En su respuesta a una declaración de The Register, Anthropic admitió: “En febrero de 2025, también ocurrió una filtración similar de código fuente en una versión anterior de Claude Code”. Esto significa que el mismo error ocurrió dos veces en 13 meses.

Irónicamente, dentro de Claude Code existe un sistema llamado “Undercover Mode (modo encubierto)”, diseñado específicamente para evitar que los códigos internos de Anthropic se filtren accidentalmente en el historial de commits de git… y luego los ingenieros empaquetaron todo el código fuente dentro de un .map.

Otro posible empujón del incidente puede haber sido la propia cadena de herramientas: a finales de año, Anthropic adquirió Bun, y Claude Code se construye precisamente sobre Bun. El 11 de marzo de 2026, alguien presentó un informe de error en el sistema de seguimiento de issues de Bun (#28001), señalando que Bun en modo de producción aún genera y emite source map, en contradicción con lo que dicen los documentos oficiales. Este issue sigue abierto hasta hoy.

Al respecto, la respuesta oficial de Anthropic fue breve y contenida: “No se vieron involucrados ni se filtraron datos o credenciales de usuarios. Se trató de un error humano en el proceso de empaquetado del lanzamiento, no de una vulnerabilidad de seguridad. Estamos impulsando medidas para evitar que ocurran incidentes de este tipo nuevamente.”

III. ¿Qué se filtró?

Tamaño del código

El contenido filtrado abarca aproximadamente 1.900 archivos y más de 500k líneas de código. Esto no son pesos del modelo, sino la implementación de “capa de software” completa de Claude Code—incluyendo el marco de llamadas a herramientas, la orquestación de múltiples agentes, el sistema de permisos, el sistema de memoria y otras arquitecturas centrales.

Hoja de ruta de funcionalidades no lanzadas

Esta es la parte con mayor valor estratégico de la filtración.

Proceso de guardián autónomo KAIROS: este nombre funcional, mencionado más de 150 veces, proviene del griego antiguo “en el momento oportuno” y representa el cambio fundamental de Claude Code hacia un “Agente en segundo plano de forma permanente”. KAIROS incluye un proceso llamado autoDream, que ejecuta la “integración de memoria” cuando el usuario está inactivo—fusionando observaciones fragmentadas, eliminando contradicciones lógicas y consolidando intuiciones vagas en hechos deterministas. Cuando el usuario regresa, el contexto del Agente ya está limpio y es altamente relevante.

Códigos internos de modelos y datos de rendimiento: el contenido filtrado confirma que Capybara es el nombre interno de una variante de Claude 4.6, Fennec corresponde a Opus 4.6, y el Numbat aún no lanzado sigue en pruebas. Los comentarios del código también revelan que Capybara v8 tiene una tasa de afirmaciones falsas del 29–30%, frente al 16,7% de la v4, lo cual supone un retroceso.

Mecanismo de anti-destilación (Anti-Distillation): en el código existe una marca funcional llamada ANTI_DISTILLATION_CC. Al habilitarla, Claude Code inyecta definiciones de herramientas falsas en las solicitudes de API, con el objetivo de contaminar los datos de tráfico de la API que los competidores podrían usar para el entrenamiento del modelo.

Listado de funcionalidades beta de la API: el archivo constants/betas.ts revela todas las funcionalidades beta que Claude Code y la API negocian, incluyendo la ventana de contexto de 1 millón de tokens (context-1m-2025-08-07), el modo AFK (afk-mode-2026-01-31), la gestión de presupuestos de tareas (task-budgets-2026-03-13) y una serie de capacidades aún no publicadas.

Sistema de compañeros virtuales tipo Pokémon integrado: incluso hay un sistema completo de compañeros virtuales (Buddy) escondido en el código, que incluye rareza de especies, variantes brillantes, atributos generados de forma procedimental y una “descripción del alma” escrita por Claude en la primera incubación. Las categorías de compañeros se determinan mediante un generador de números pseudoaleatorios determinista basado en el hash del ID de usuario; el mismo usuario obtiene para siempre el mismo compañero.

IV. Ataques concurrentes en la cadena de suministro

Este incidente no ocurrió de manera aislada. En la misma ventana temporal en la que se filtró el código fuente, el paquete axios en npm fue objeto de un ataque de cadena de suministro independiente.

Entre las 00:21 y las 03:29 UTC del 31 de marzo de 2026, si se instaló o actualizó Claude Code mediante npm, se podría haber introducido inadvertidamente una versión maliciosa con un troyano de acceso remoto (RAT) (axios 1.14.1 o 0.30.4).

Anthropic recomienda a los desarrolladores afectados tratar el host como completamente comprometido, rotar todas las claves y reinstalar el sistema operativo.

La superposición temporal de estos dos incidentes hace que la situación sea aún más confusa y peligrosa.

V. Impacto en la industria

Daño directo a Anthropic

Para una empresa con ingresos anuales anualizados de 19.000 millones de dólares y en una fase de rápido crecimiento, esta filtración no es solo una falta de seguridad; también es una pérdida de propiedad intelectual estratégica.

Al menos parte de las capacidades de Claude Code no proviene del modelo de lenguaje base en sí, sino de “un marco” de software construido alrededor del modelo—guía cómo el modelo usa herramientas y proporciona salvaguardas e instrucciones importantes para estandarizar el comportamiento del modelo.

Estas salvaguardas e instrucciones ahora son visibles con total claridad para los competidores.

Advertencia para el ecosistema completo de herramientas de AI Agent

Esta filtración no hundirá a Anthropic, pero les ofrece a todos los competidores un manual de ingeniería gratuito—cómo construir un Agent de programación con IA a nivel de producción y qué direcciones de herramientas merecen una inversión prioritaria.

El valor real del contenido filtrado no está en el código en sí, sino en la hoja de ruta del producto que revelan las banderas funcionales. KAIROS, el mecanismo de anti-destilación—estos son detalles estratégicos que los competidores ahora pueden anticipar y reaccionar antes. El código puede reestructurarse, pero una sorpresa estratégica una vez filtrada no se puede recuperar.

VI. Enseñanzas profundas para la codificación de Agents

Esta filtración es un espejo que refleja varias afirmaciones fundamentales de la ingeniería actual de AI Agent:

1. Los límites de capacidad de un Agent dependen en gran medida de la “capa de marco” y no del modelo en sí

La exposición de 500k líneas de código de Claude Code revela un hecho relevante para toda la industria: el mismo modelo base, combinado con distintos marcos de orquestación de herramientas, mecanismos de gestión de memoria y sistemas de permisos, producirá capacidades de Agent completamente diferentes. Esto significa que “quién tiene el modelo más fuerte” ya no es el único eje competitivo—“quién tiene una ingeniería de marcos más sólida” también es igual de crucial.

2. La autonomía de largo alcance es el próximo campo de batalla central

La existencia del proceso guardián KAIROS indica que la competencia del siguiente paso de la industria se centrará en “hacer que el Agent siga trabajando de manera continua y efectiva incluso sin supervisión humana”. La integración de memoria en segundo plano, la transferencia de conocimiento entre sesiones, el razonamiento autónomo en momentos de inactividad—cuando estas capacidades maduren, cambiarán por completo el patrón básico de colaboración entre agentes y seres humanos.

3. La anti-destilación y la protección de la propiedad intelectual se convertirán en un nuevo tema base de la ingeniería de IA

Anthropic implementó el mecanismo de anti-destilación a nivel de código; esto presagia que se está formando un nuevo campo de ingeniería: cómo evitar que los sistemas de IA propios sean utilizados por competidores para la recolección de datos de entrenamiento. Esto no solo será un problema técnico, sino que evolucionará hasta convertirse en un nuevo campo de batalla de tipo legal y comercial.

4. La seguridad de la cadena de suministro es el talón de Aquiles de las herramientas de IA

Cuando las herramientas de programación de IA se distribuyen mediante gestores públicos de paquetes de software como npm, se enfrentan a riesgos de ataques en la cadena de suministro, igual que el resto del software open source. La particularidad de las herramientas de IA es que, una vez que se inserta una puerta trasera, el atacante obtiene no solo permisos de ejecución de código, sino una infiltración profunda de todo el flujo de trabajo de desarrollo.

5. Cuanto más complejo el sistema, más se necesita una publicación automatizada de guardias

“Con que haya un .npmignore mal configurado o el campo files en package.json, se puede exponer todo.” Para cualquier equipo que construya productos de AI Agent, esta lección no requiere pagar un costo tan alto para aprenderla—incorporar en la canalización CI/CD una revisión automatizada del contenido que se publica debería convertirse en una práctica estándar, no en una medida de rescate después de haber “corregido el error cuando ya era tarde”.

Epílogo

Hoy es 1 de abril de 2026, Día de los Inocentes. Pero esto no es una broma.

Anthropic cometió el mismo error dos veces en 13 meses. El código fuente ya se reflejó en todo el mundo; las solicitudes de eliminación DMCA no pueden seguir el ritmo de las forks. Esa hoja de ruta del producto, que se suponía debía permanecer oculta en la red interna, ahora es material de referencia para todos.

Para Anthropic, esto es una lección dolorosa.

Para toda la industria, es un momento inesperado de transparencia—veamos cómo, en la actualidad, los AI Agents de programación con IA más avanzados se construyen, línea por línea.