La filtración del código de Claude de Anthropic revela herramientas de agentes autónomos y modelos no lanzados

Anthropic expuso el código fuente completo de Claude Code después de que un archivo de source map mal configurado fuera publicado en npm, ofreciendo una mirada poco común al interior de uno de los productos comerciales más importantes de la compañía.

El archivo, incluido con la versión 2.1.88, contenía casi 60 megabytes de material interno, incluyendo alrededor de 512.000 líneas de TypeScript en 1.906 archivos. Chaofan Shou, un ingeniero de software en prácticas en Solayer Labs, detectó primero la filtración, que rápidamente se extendió por X y GitHub a medida que los desarrolladores comenzaron a examinar la base de código.

El anuncio mostró cómo Anthropic construyó Claude Code para mantenerse en el rumbo durante sesiones de codificación largas. Uno de los hallazgos más claros fue un sistema de memoria de tres capas centrado en un archivo ligero llamado MEMORY.md, que almacena referencias cortas en lugar de información completa. Las notas más detalladas del proyecto se guardan por separado y solo se incorporan cuando se necesita, mientras que el historial de sesiones anteriores se busca de forma selectiva en lugar de cargarse todo de una vez. El código también indica al sistema que verifique su memoria contra el código real antes de actuar, un diseño destinado a reducir errores y suposiciones falsas.

La fuente también sugiere que Anthropic ha estado desarrollando una versión más autónoma de Claude Code que la que los usuarios ven actualmente. Una característica mencionada repetidamente bajo el nombre KAIROS parece describir un modo de daemon en el que el agente puede continuar operando en segundo plano en lugar de esperar indicaciones directas.

Otro proceso, llamado autoDream, parece manejar la consolidación de la memoria durante periodos de inactividad reconciliando contradicciones y convirtiendo observaciones tentativas en hechos verificados. Los desarrolladores que revisaron el código también encontraron docenas de indicadores de funciones ocultas, incluyendo referencias a automatización del navegador mediante Playwright.

La filtración también expuso nombres internos de modelos y datos de rendimiento. Según la fuente, Capybara se refiere a una variante de Claude 4.6, Fennec corresponde a un lanzamiento de Opus 4.6, y Numbat permanece en pruebas previas al lanzamiento.

Los benchmarks internos citados en el código mostraron la versión más reciente de Capybara con una tasa de afirmaciones falsas del 29% al 30%, en comparación con el 16,7% en una iteración anterior. La fuente también mencionó un contrapeso de asertividad diseñado para evitar que el modelo se vuelva demasiado agresivo al refactorizar el código del usuario.

Una de las divulgaciones más sensibles involucró una característica descrita como Undercover Mode. El prompt del sistema recuperado sugiere que Claude Code podría usarse para contribuir a repositorios públicos de código abierto sin revelar que se involucró una IA. Las instrucciones indican específicamente que el modelo evite exponer identificadores internos, incluyendo codenames de Anthropic, en mensajes de commit o registros públicos de git.

Los materiales filtrados también expusieron el motor de permisos de Anthropic, la lógica de orquestación para flujos de trabajo de múltiples agentes, sistemas de validación de bash y la arquitectura del servidor MCP, brindando a los competidores una mirada detallada sobre cómo funciona Claude Code. La divulgación también podría darle a los atacantes una hoja de ruta más clara para crear repositorios diseñados para explotar el modelo de confianza del agente. El texto pegado dice que un desarrollador ya había comenzado a reescribir partes del sistema en Python y Rust bajo el nombre Claw Code dentro de las horas posteriores a la filtración.

La exposición de la fuente coincidió con un ataque separado en la cadena de suministro que involucró versiones maliciosas del paquete axios de npm distribuidas el 31 de marzo. Los desarrolladores que instalaron o actualizaron Claude Code a través de npm durante ese periodo también pudieron haber incorporado la dependencia comprometida, que supuestamente contenía un troyano de acceso remoto. Los investigadores de seguridad instaron a los usuarios a revisar sus lockfiles, rotar credenciales y, en algunos casos, considerar reinstalaciones completas del sistema operativo en las máquinas afectadas.

El incidente marca el segundo caso conocido en aproximadamente trece meses en el que Anthropic expuso detalles técnicos internos sensibles, después de un episodio anterior en febrero de 2025 que involucró información de un modelo no lanzado.

Tras la última filtración, Anthropic designó su instalador binario independiente como el método preferido para instalar Claude Code porque evita la cadena de dependencias de npm. Se aconsejó a los usuarios que permanecen en npm que se ajusten a versiones seguras verificadas publicadas antes del paquete comprometido.

                    **Divulgación:** Este artículo fue editado por Estefano Gomez. Para más información sobre cómo creamos y revisamos contenido, consulta nuestra Política Editorial.