Anthropic filtra código de Claude Code: miles de líneas expuestas

Nadie tuvo que hackear nada. El archivo simplemente estaba ahí.

El 31 de marzo de 2026, la versión 2.1.88 del paquete @anthropic-ai/claude-code se distribuyó en npm con un archivo de mapa de código fuente de 59,8 MB que apuntaba directamente a un zip alojado en el propio bucket de Cloudflare R2 de Anthropic. Cualquier persona con suficiente curiosidad técnica podía descargarlo. Eran aproximadamente 512.000 líneas de TypeScript que abarcaban desde telemetría hasta indicadores de funciones ocultas y arquitectura de agentes. No datos de clientes, no credenciales, pero sí la cocina entera de una de las herramientas de programación con IA más usadas del mercado.

Un error humano con consecuencias no tan humanas

Anthropic confirmó el incidente en declaraciones a VentureBeat, calificándolo de «un problema de empaquetado en el lanzamiento causado por error humano», y no de una brecha de seguridad. La distinción importa, pero tampoco borra lo ocurrido.

Y aquí viene el detalle que pone los pelos de punta: esto no es la primera vez. En febrero de 2025 se produjo una filtración de mapas de origen casi idéntica con una versión anterior de Claude Code lo que convierte este episodio en el segundo del mismo tipo en apenas trece meses. Uno puede aceptar un tropiezo. Dos tropiezos en el mismo escalón ya dicen algo sobre los procesos internos. Hay que decirlo.

El origen técnico del fallo apunta a un bug conocido en Bun, el runtime de JavaScript sobre el que está construido Claude Code. Dicho bug, reportado el 11 de marzo, hace que los mapas de código fuente se sirvan en modo producción aunque la documentación de Bun indique que deberían estar desactivados. El issue sigue abierto. Así que Anthropic usó una herramienta propia que tenía un agujero conocido y nadie lo cerró a tiempo.

Lo que había dentro: de Kairos al «Modo Encubierto»

El código expuesto no era aburrido. Entre los hallazgos más llamativos: un sistema llamado Kairos, descrito como un daemon en segundo plano siempre activo que almacena registros de memoria y realiza «sueños» nocturnos para consolidar el conocimiento. La metáfora es bonita; la realidad, más inquietante.

Pero lo que más hizo reír —y reflexionar— a la comunidad técnica fue otra cosa. Enterrado en el código había un «Modo Encubierto»: un subsistema completo diseñado para evitar que la IA filtrara accidentalmente los nombres en clave internos y proyectos de Anthropic al contribuir a repositorios de código abierto. El prompt del sistema inyectado literalmente dice: «No reveles tu identidad».

Puede resultar cómico en un primer vistazo. Pero revela algo más profundo: Anthropic tiene mecanismos activos para que su IA oculte información estratégica al mundo exterior mientras trabaja. No es ilegal, ni siquiera sorprendente para una empresa que compite en un mercado ultracompetitivo. Pero es la clase de detalle que hace pensar en cuántas capas de «no reveles tu identidad» funcionan en sistemas que usamos a diario.

El análisis del código también desveló una arquitectura con un sistema de permisos dual que integra reglas explícitas y aprendizaje automático para validar la ejecución de comandos, y capacidades de ejecución en streaming que optimizan la experiencia del desarrollador. En resumen: Claude Code es técnicamente sofisticado, y ahora sus competidores lo saben mejor que antes.

Internet guarda todo, las DMCA no sirven de nada

Anthropic reaccionó rápido. La empresa comenzó a emitir solicitudes de eliminación bajo la DMCA contra los mirrors en GitHub. Demasiado tarde.

Un desarrollador coreano llamado Sigrid Jin se despertó a las 4 de la mañana con la noticia, portó la arquitectura central a Python desde cero usando una herramienta de orquestación de IA y publicó «claw-code» antes del amanecer, alcanzando 30.000 estrellas en GitHub en tiempo récord. Al estar escrito en Python desde cero, la DMCA no aplica sobre él. El código ya fue archivado en plataformas descentralizadas donde no puede eliminarse.

¿Puede Anthropic recuperar el control de esto? La respuesta honesta es no. La pasta de dientes no vuelve al tubo.

Para cerrar: la prisa como riesgo sistémico

Lo que me preocupa de este episodio no es la filtración en sí. Es el patrón. La presión por lanzar productos más eficientes deja en segundo plano la evaluación de seguridad, y los propios desarrolladores líderes admiten la fragilidad de sus sistemas. Anthropic no es la excepción; es el ejemplo más visible de una tendencia que afecta a todo el sector.

Vivimos en un momento en el que las empresas de IA lanzan modelos y herramientas a un ritmo que sus propios equipos de seguridad difícilmente pueden seguir. Y cuando los controles fallan, no importa cuánto valga la empresa ni cuán sofisticado sea su producto: el código acaba en la calle. La carrera por ser el primero tiene un precio, y hoy lo pagó Anthropic. Mañana puede ser cualquier otro. Eso, más que los 512.000 líneas expuestas, es lo que merece atención.

Fuentes: