Fuga de Código de Anthropic Claude: Un Análisis Profundo del Código Fuente y sus Implicaciones

Avatar
Lisa Ernst · 01.04.2026 · Inteligencia Artificial · 12 min

El mundo digital a menudo opera con una ilusión de control, una fachada cuidadosamente seleccionada sobre sistemas complejos. El 31 de marzo de 2026, esa fachada se desmoronó brevemente para Anthropic, una de las principales empresas de IA, cuando el código fuente completo de su herramienta de interfaz de línea de comandos (CLI), Claude Code, se hizo público inadvertidamente. Esto no fue un hackeo malicioso, sino más bien una simple supervisión, amplificada por la curiosidad natural de los desarrolladores y la interconexión generalizada de las plataformas en línea.

Resumen Rápido: Puntos Clave de la Fuga de Código de Claude

La fuga accidental del código fuente de Claude de Anthropic ha revelado información crítica y ha planteado preguntas importantes. Aquí hay una breve descripción general:

Desglosando la Fuga de Código de Anthropic Claude

El 31 de marzo de 2026, el código fuente de la herramienta CLI de Anthropic, Claude Code, se hizo público accidentalmente, un hecho ampliamente informado por medios como The Register. El núcleo del problema fue un archivo Source Map, que se publicó inadvertidamente en el registro npm, como detalló The Decoder. El descubrimiento fue informado públicamente por primera vez por el experto en seguridad Chaofan Shou en X (anteriormente Twitter).

Retrato de Chaofan Shou

Fuente: usethebitcoin.com

El experto en seguridad Chaofan Shou informó inicialmente de la publicación pública accidental del código fuente de Claude de Anthropic, lo que puso el incidente en conocimiento del público.

Inmediatamente después de esta revelación, apareció una instantánea completa de la base de código en un repositorio público de GitHub titulado instructkr/claude-code, un hecho verificado por dev.to. Este código espejo era sustancial, contenía aproximadamente 1.900 archivos y un total de más de 512.000 líneas, según Heise.

Claude Code está diseñado como una herramienta de línea de comandos, que permite a los desarrolladores interactuar con los modelos de IA de Anthropic utilizando lenguaje natural, según informó Silicon Republic. Ayuda con tareas como editar archivos o ejecutar comandos. Los Source Maps, típicamente utilizados para depuración, ayudan a vincular el código comprimido con sus archivos fuente originales, como explica dev.to. Cuando estos archivos se incluyen accidentalmente en paquetes publicados, pueden exponer el código fuente completo y sin minificar. En este incidente específico, el archivo Source Map de JavaScript de 59,8 MB (.map) dentro de la versión 2.1.88 del paquete `@anthropic-ai/claude-code` apuntaba directamente a sus fuentes TypeScript sin minificar, según dev.to. Se cree que una configuración de paquete defectuosa durante el proceso de publicación de npm fue la causa raíz de esta exposición.

Anthropic respondió rápidamente, retirando la versión problemática del paquete del registro npm y reemplazándola por una versión limpia que carecía de los Source Maps expuestos. Un portavoz de la empresa confirmó la fuga accidental de código, asegurando al público que no se habían comprometido datos confidenciales de clientes ni credenciales de inicio de sesión. Anthropic caracterizó el incidente como un problema de empaquetado causado por error humano, no una vulnerabilidad de seguridad, y declaró que se estaban implementando medidas para prevenir ocurrencias similares en el futuro.

Lo que hace que esta fuga sea particularmente notable es que marca la tercera vez que Anthropic comete este error preciso con Source Maps en el registro npm, según informó The Register. Una versión anterior de Claude Code enfrentó una exposición similar en febrero de 2025; Anthropic la abordó retirando la versión antigua y el Source Map. Sin embargo, el problema resurgió en la versión 2.1.88 en 2026. La causa técnica raíz parece ser un error documentado (oven-sh/bun#28001) en el empaquetador Bun, que genera Source Maps por defecto a menos que se deshabiliten explícitamente, lo que lleva a incidentes repetidos si no se configura correctamente.

Implicaciones y Descubrimientos Inesperados en el Código de Anthropic Claude

El extenso código filtrado, que comprende 1.906 archivos fuente propietarios de TypeScript, ofreció una ventana sin precedentes a la arquitectura interna de Anthropic. Expuso detalles intrincados sobre su diseño de API, sistemas de análisis telemétrico, herramientas de cifrado y protocolos de comunicación entre procesos. Si bien los datos del usuario y los pesos de los modelos de IA permanecieron expuestos, esta nueva transparencia del funcionamiento interno de Anthropic proporciona información significativa para los competidores e introduce nuevas consideraciones de seguridad para los usuarios.

Memoria Autocurativa y Demonio KAIROS

Una de las revelaciones más impactantes de la fuga es la sofisticada arquitectura de memoria de tres niveles de Anthropic, diseñada explícitamente para abordar la "entropía del contexto". A diferencia de los métodos tradicionales de recuperación de "guardar todo", Claude Code emplea un sistema único de "Memoria Autocurativa", como detalló dev.to. Este sistema se basa en `MEMORY.md`, un índice ligero de punteros (aproximadamente 150 caracteres por línea) que se carga constantemente en el contexto del modelo. Crucialmente, este índice almacena ubicaciones de memoria, no los datos reales. El conocimiento real del proyecto se distribuye en "archivos de temas", que se recuperan solo cuando es necesario. Las transcripciones crudas nunca se leen completamente; en cambio, se "grep" en busca de identificadores específicos. Una "Disciplina de Escritura Estricta" garantiza que el agente actualice su índice solo después de una operación de escritura de archivo exitosa, evitando que el contexto del modelo se contamine por intentos fallidos. El código confirma explícitamente que los agentes de Anthropic están instruidos para tratar su propia memoria como una mera "sugerencia", que requiere verificación contra la base de código real antes de proceder con cualquier acción.

La fuga también sacó a la luz "KAIROS", un modo demonio autónomo mencionado más de 150 veces en todo el código fuente, como detalló dev.to. KAIROS opera como un agente de fondo constantemente activo, gestionando meticulosamente las sesiones en segundo plano y utilizando un proceso llamado "autoDream". Mientras el usuario está inactivo, "autoDream" realiza la "consolidación de memoria", un proceso sofisticado que fusiona observaciones dispares, resuelve contradicciones lógicas y transforma ideas vagas en hechos concretos. Este mantenimiento en segundo plano garantiza que el contexto del agente permanezca limpio y altamente relevante para el regreso del usuario. Un subagente bifurcado maneja estas tareas, evitando críticamente que estas operaciones de mantenimiento de rutina corrompan el "hilo de pensamiento" del agente principal.

Hoja de Ruta de Modelos Internos

El código filtrado también ofreció una visión de la hoja de ruta de modelos internos de Anthropic. "Capybara" se reveló como el nombre en clave interno para una variante de Claude 4.6, mientras que "Fennec" se asocia con Opus 4.6. "Numbat" representa un modelo aún en fase de pruebas. Comentarios internos dentro del código indicaron que Anthropic ya estaba trabajando en Capybara v8, que mostró una tasa significativa del 29-30% de afirmaciones falsas, una regresión de la tasa del 16.7% observada en v4. Para contrarrestar esto, una función de "Contrapeso de Asertividad" tiene como objetivo evitar que el modelo se vuelva demasiado agresivo durante los procesos de refactorización, destacando los esfuerzos de Anthropic por equilibrar el rendimiento con la precisión.

Aquí hay un vistazo rápido a los nombres en clave de modelos revelados:

Nombre clave Modelo/Estado asociado Notas
Capybara Variante de Claude 4.6 Comentarios internos indican que v8 tiene un 29-30% de tasa de afirmaciones falsas (regresión del 16.7% en v4).
Fennec Opus 4.6
Numbat Modelo en fase de prueba
Tengu Funcionalidad de atestación

Modo Encubierto y Sistema Buddy

Una función éticamente cuestionable que salió a la luz es el "Modo Encubierto", como resaltó dev.to. Este modo sugiere que Anthropic utiliza Claude Code para contribuciones "sigilosas" a repositorios públicos de código abierto. El prompt del sistema advierte explícitamente al modelo: "Estás operando ENCUBIERTO... Tus mensajes de confirmación... NO DEBEN contener ninguna información interna de Anthropic. No te reveles." Esta lógica garantiza que ningún nombre de modelo (como 'Tengu' o 'Capybara') o atribución de IA aparezca en los registros Git públicos, enmascarando efectivamente la naturaleza automatizada de las contribuciones. Crucialmente, no hay forma de que un usuario desactive forzosamente esta función Encubierta.

Estás operando ENCUBIERTO... Tus mensajes de confirmación... NO DEBEN contener ninguna información interna de Anthropic. No te reveles.
Fragmento de código del prompt del sistema del Modo Encubierto

Fuente: red-gate.com

Un fragmento de código advierte explícitamente al modelo sobre su operación en "Modo Encubierto", instruyéndole a evitar revelar cualquier información interna de Anthropic en los mensajes de confirmación públicos.

Además, el código expuso el sistema "Buddy", una mascota de terminal tipo Tamagotchi con estadísticas como CHAOS y SNARK, diseñada para aumentar la participación del usuario, también descubierta por dev.to. Los nombres de las especies están codificados para eludir revisiones de código automatizadas, agregando otra capa de oscuridad a su funcionalidad interna.

Mascota de terminal Tamagotchi del sistema Buddy

Fuente: etsy.com

El sistema Buddy es una mascota de terminal tipo Tamagotchi, con estadísticas como CHAOS y SNARK, diseñada para mejorar la interacción del usuario con Claude Code.

Riesgos de Seguridad y Recomendaciones para Usuarios de Claude Code

La fuga del código fuente de Claude Code presenta mayores riesgos de seguridad tanto para usuarios individuales como para clientes corporativos. Con el plano detallado del funcionamiento interno de la herramienta ahora público, los atacantes podrían crear repositorios maliciosos diseñados para engañar a Claude Code para que ejecute comandos en segundo plano o incluso exfiltre datos. Para agravar esto, un ataque de cadena de suministro separado contra el paquete `axios` de npm ocurrió concurrentemente, solo unas horas antes de la fuga de Claude Code. Esto significa que si Claude Code se instaló o actualizó a través de npm entre las 00:21 y las 03:29 UTC del 31 de marzo de 2026, una versión maliciosa de `axios` (ya sea 1.14.1 o 0.30.4) que contiene un Troyano de Acceso Remoto (RAT) podría haber sido instalada en los sistemas de los usuarios.

Los usuarios afectados deben revisar inmediatamente sus archivos de bloqueo de proyectos (como `package-lock.json`, `yarn.lock` o `bun.lockb`) en busca de la presencia de estas versiones sospechosas de `axios` o la dependencia `plain-crypto-js`. Si se encuentra alguna, la máquina anfitriona debe considerarse comprometida. Todos los secretos deben rotarse y debe realizarse una reinstalación limpia del sistema operativo para garantizar una remediación completa.

Mejores Prácticas de Instalación

En adelante, se recomienda encarecidamente la transición de instalaciones basadas en npm al Instalador Nativo para Claude Code, al que se puede acceder a través de `curl -fsSL https://claude.ai/install.sh | bash`. El Instalador Nativo utiliza un binario autónomo, lo que lo hace inmune a la volatilidad de la cadena de dependencias de npm. También admite actualizaciones automáticas en segundo plano, cruciales para recibir parches de seguridad (probablemente la versión 2.1.89 o posterior). Si mantener la instalación de npm es inevitable, los usuarios deben desinstalar la versión 2.1.88 ahora comprometida y fijar explícitamente su instalación a una versión segura y verificada, como la 2.1.86.

install_claude.sh
curl -fsSL https://claude.ai/install.sh | bash

Además, se recomienda una postura de "confianza cero" al usar Claude Code en entornos desconocidos. Evite ejecutar el agente dentro de repositorios recién clonados o no confiables hasta que el archivo `.claude/config.json` y cualquier hook personalizado hayan sido revisados manualmente en busca de elementos sospechosos. Las claves API de Anthropic deben rotarse con frecuencia a través de la consola de desarrollador, y los patrones de uso deben monitorearse continuamente en busca de anomalías, proporcionando una capa adicional de seguridad.

Preguntas Frecuentes (FAQ)

¿Qué exactamente se filtró?

La fuga incluyó todo el código fuente de la herramienta de interfaz de línea de comandos (CLI) de Anthropic, Claude Code. Esto incluyó 1.906 archivos TypeScript propietarios, con un total de más de 512.000 líneas de código, que cubren el diseño de API interno, sistemas telemétricos, herramientas de cifrado y protocolos de comunicación entre procesos.

¿Se comprometieron datos sensibles de usuarios o modelos de IA?

Según Anthropic, no se comprometieron datos confidenciales de clientes, credenciales de inicio de sesión o pesos de modelos de IA principales en este incidente. La fuga expuso principalmente la implementación del lado del cliente de la herramienta Claude Code.

¿Cómo ocurrió la fuga?

La fuga ocurrió debido a un archivo Source Map publicado inadvertidamente dentro de la versión 2.1.88 del paquete `@anthropic-ai/claude-code` en el registro npm. Se cree que una configuración de paquete defectuosa durante el proceso de publicación de npm, posiblemente relacionada con un error en el empaquetador Bun, fue la causa raíz. Es la tercera vez que Anthropic comete este error específico.

¿Cuáles son los hallazgos más significativos del código filtrado?

Los descubrimientos clave incluyen una sofisticada arquitectura de "Memoria Autocurativa" de tres niveles, un modo demonio autónomo "KAIROS" para la consolidación de memoria en segundo plano, nombres en clave de modelos internos (por ejemplo, "Capybara" para Claude 4.6) y un "Modo Encubierto" diseñado para enmascarar el origen de IA de las contribuciones de código a repositorios públicos.

¿Cuáles son los riesgos de seguridad para los usuarios?

La disponibilidad pública del código fuente podría permitir a los atacantes crear repositorios maliciosos que engañen a Claude Code para que ejecute comandos o exfiltre datos. Además, una vulnerabilidad concurrente del paquete `axios` de npm significa que los usuarios que actualizaron Claude Code a través de npm durante una ventana específica (31 de marzo de 2026, de 00:21 a 03:29 UTC) podrían haber instalado una versión maliciosa de `axios` que contiene un Troyano de Acceso Remoto (RAT).

¿Qué deben hacer los usuarios de Claude Code para protegerse?

Los usuarios deben pasar de instalaciones basadas en npm al Instalador Nativo. Revisen inmediatamente los archivos de bloqueo de proyectos en busca de versiones maliciosas de `axios` (1.14.1 o 0.30.4) o la dependencia `plain-crypto-js`. Si se encuentran, consideren la máquina como comprometida, roten todos los secretos y realicen una reinstalación limpia del sistema operativo. Adopten un enfoque de "confianza cero", revisen los archivos de configuración y roten con frecuencia las claves API de Anthropic.

Conclusión

La exposición pública accidental del código fuente de Claude Code de Anthropic subraya vívidamente los desafíos persistentes inherentes al desarrollo y despliegue de software, particularmente dentro del panorama de IA en rápida evolución. Si bien Anthropic afirma que no se comprometieron datos confidenciales de usuarios ni pesos de modelos de IA cruciales, la fuga proporciona a los competidores un plano excepcionalmente detallado del funcionamiento interno de Claude Code, incluida su sofisticada gestión de memoria y sus complejos flujos de trabajo multiagente, como se informó de manera integral por dev.to. Más allá de la información competitiva, también plantea preocupaciones críticas de seguridad para los usuarios finales, destacando la necesidad absoluta de vigilancia y el cumplimiento de las mejores prácticas en la gestión de dependencias de software. Este incidente sirve como un recordatorio contundente de que incluso un solo error aparentemente menor en un archivo de configuración puede exponer meses de trabajo propietario y enviar ondas significativas a través de la comunidad técnica.

¡Comparte nuestra publicación!
Fuentes