Claude Code fuente filtrada: el efecto mariposa causado por un archivo .map

Redacción: Claude

I. Origen

El 31 de marzo de 2026, a altas horas de la madrugada, un tuit en la comunidad de desarrolladores desató una gran conmoción.

Chaofan Shou, un pasante de una empresa de seguridad blockchain, descubrió que el paquete oficial de npm de Anthropic venía con un archivo de source map, dejando la fuente completa de Claude Code expuesta al público. De inmediato, publicó este hallazgo en X y añadió un enlace directo para descargarlo.

Esta publicación estalló en la comunidad de desarrolladores como una bengala. En cuestión de horas, más de 512k líneas de código TypeScript se reflejaron en GitHub y fueron analizadas en tiempo real por miles de desarrolladores.

Esta es la segunda gran filtración de información ocurrida en menos de una semana por parte de Anthropic.

Justo cinco días antes (el 26 de marzo), un error de configuración en un CMS de Anthropic hizo que se publicaran al menos cerca de 3.000 archivos internos, incluyendo borradores de publicaciones de blog sobre el modelo “Claude Mythos”, que se lanzaría próximamente.

II. ¿Cómo ocurrió la filtración?

Las causas técnicas de este incidente son casi para reírse—la causa raíz es que el paquete npm incluía por error un archivo de source map (.map).

Este tipo de archivos sirve para mapear el código de producción comprimido y ofuscado de vuelta al código fuente original, a fin de ubicar el número de línea del error durante la depuración. Y en ese .map hay un enlace que apunta a un paquete comprimido dentro del propio bucket de almacenamiento Cloudflare R2 de Anthropic.

Shou y otros desarrolladores descargaron directamente ese paquete zip, sin necesidad de ningún método de pirateo. El archivo simplemente estaba ahí, totalmente público.

La versión implicada es la v2.1.88 de @anthropic-ai/claude-code, e incluye un archivo de source map de JavaScript de 59,8MB.

En su respuesta a una declaración de The Register, Anthropic reconoció: “Una versión anterior de Claude Code ya sufrió una filtración similar del código fuente en febrero de 2025”. Esto significa que el mismo error ocurrió dos veces en 13 meses.

Irónicamente, dentro de Claude Code hay un sistema llamado “Undercover Mode（modo encubierto）”, diseñado específicamente para evitar que los alias internos de Anthropic se filtren accidentalmente en los registros de commits de git… y luego un ingeniero empaquetó toda la fuente en un archivo .map.

Otro posible impulsor del incidente es la propia cadena de herramientas: a finales de año, Anthropic adquirió Bun, y Claude Code se construye precisamente sobre Bun. El 11 de marzo de 2026, alguien presentó un informe de bug en el sistema de seguimiento de issues de Bun (#28001), señalando que Bun en modo de producción aún genera y emite source maps, en contradicción con lo que afirman los documentos oficiales. Ese issue sigue abierto hasta hoy.

Al respecto, la respuesta oficial de Anthropic fue breve y contenida: “No hay datos de usuarios ni credenciales involucradas o filtradas. Es un error humano durante el proceso de empaquetado del lanzamiento, no una vulnerabilidad de seguridad. Estamos impulsando medidas para evitar que ocurran de nuevo este tipo de incidentes.”

III. ¿Qué se filtró?

Tamaño del código

El contenido filtrado abarca aproximadamente 1.900 archivos y más de 500k líneas de código. Esto no son pesos del modelo, sino la implementación de toda la “capa de software” de Claude Code: incluye el marco de llamadas a herramientas, la orquestación de múltiples agentes, el sistema de permisos, el sistema de memoria y otras arquitecturas centrales.

Hoja de ruta de funcionalidades no publicadas

Esta es la parte con mayor valor estratégico de la filtración.

Proceso de guardia autónoma de KAIROS: este código de función mencionado más de 150 veces proviene del griego antiguo “kairos” (“el momento oportuno”), y representa el cambio fundamental de Claude Code hacia un “agente en segundo plano permanente”. KAIROS incluye un proceso llamado autoDream, que ejecuta la “integración de memoria” cuando el usuario está inactivo: fusiona observaciones fragmentadas, elimina contradicciones lógicas y convierte percepciones vagas en hechos deterministas. Cuando el usuario regresa, el contexto del Agent ya está limpio y altamente relevante.

Alias internos de modelos y datos de rendimiento: el contenido filtrado confirma que Capybara es un alias interno de la variante de Claude 4.6; Fennec corresponde a Opus 4.6; y el Numbat, aún no publicado, permanece en pruebas. Los comentarios del código también exponen que Capybara tiene una tasa de afirmaciones falsas de 29–30%; en comparación, v4 tiene 16,7%, lo que implica un retroceso.

Mecanismo de anti-destilación (Anti-Distillation): el código contiene una marca de función llamada ANTI_DISTILLATION_CC. Al habilitarla, Claude Code inyecta definiciones de herramientas falsas en las solicitudes de API, con el objetivo de contaminar los datos de tráfico de API que los competidores podrían usar para entrenar modelos.

Lista de funcionalidades beta de API: el archivo constants/betas.ts revela todas las betas de Claude Code para la negociación con la API, incluyendo una ventana de contexto de 1M de tokens (context-1m-2025-08-07), modo AFK (afk-mode-2026-01-31), gestión de presupuesto de tareas (task-budgets-2026-03-13), entre otras capacidades aún no publicadas.

Sistema embebido de compañeros virtuales estilo Pokémon: incluso hay escondida una plataforma completa de sistema de compañeros virtuales (Buddy), que incluye rareza de especies, variantes brillantes, atributos generados de forma procedimental y una “descripción del alma” escrita por Claude durante la primera incubación. Las categorías de compañeros se determinan mediante un generador de números pseudoaleatorios determinista basado en el hash del ID del usuario: el mismo usuario siempre obtiene el mismo compañero.

IV. Ataques concurrentes a la cadena de suministro

Este incidente no ocurrió de forma aislada. En la misma ventana temporal en la que se filtró el código fuente, el paquete axios en npm fue objeto de un ataque independiente a la cadena de suministro.

Entre 2026-03-31 00:21 y 03:29 UTC, si instalabas o actualizabas Claude Code a través de npm, podrías haber introducido sin querer una versión maliciosa que contenía un troyano de acceso remoto (RAT) (axios 1.14.1 o 0.30.4).

Anthropic recomendó a los desarrolladores afectados tratar los hosts como si estuvieran completamente comprometidos, rotar todas las claves y reinstalar el sistema operativo.

La superposición temporal de estos dos incidentes hizo la situación aún más caótica y peligrosa.

V. Impacto en la industria

Daño directo a Anthropic

Para una empresa con 19.000 millones de dólares de ingresos anualizados y que está en pleno periodo de crecimiento acelerado, esta filtración no es solo una negligencia de seguridad: es una pérdida de propiedad intelectual a nivel estratégico.

Al menos parte de las capacidades de Claude Code no proviene del propio modelo de gran lenguaje de base, sino de un “marco” de software construido alrededor del modelo: guía cómo el modelo usa herramientas y proporciona salvaguardas e instrucciones importantes para estandarizar el comportamiento del modelo.

Estas salvaguardas e instrucciones ahora son totalmente visibles para los competidores.

Advertencia para todo el ecosistema de herramientas de agentes de IA

Esta filtración no hundirá a Anthropic, pero le ofrece a todos los competidores un manual de ingeniería gratuito: cómo construir agentes de programación con IA a nivel de producción, y qué direcciones de herramientas valen la pena para invertir con prioridad.

El valor real de la filtración no está en el código en sí, sino en la hoja de ruta del producto que revelan las banderas de funcionalidad. KAIROS, el mecanismo de anti-destilación—estos son detalles estratégicos que los competidores ahora pueden anticipar y en los que pueden reaccionar con ventaja. El código se puede reestructurar, pero una sorpresa estratégica que ya se filtró no se puede recuperar.

VI. Enseñanzas profundas para la programación de agentes

Esta filtración es un espejo que refleja varios enunciados centrales de la ingeniería actual de agentes de IA:

1. Los límites de las capacidades del Agent dependen en gran medida de la “capa de marco”, no del modelo en sí

La exposición de 500k líneas de código de Claude Code revela un hecho significativo para toda la industria: con el mismo modelo subyacente, al acompañarlo con distintos marcos de orquestación de herramientas, mecanismos de gestión de memoria y sistemas de permisos, se obtienen agentes con capacidades radicalmente diferentes. Esto significa que “quién tiene el modelo más potente” ya no es el único eje de competencia—“quién tiene una ingeniería de marco más fina” también es igual de crucial.

2. La autonomía de largo alcance es el próximo campo de batalla

La existencia del proceso de custodia de KAIROS indica que la competencia del siguiente paso de la industria se centrará en “lograr que el Agent continúe funcionando de manera efectiva incluso sin supervisión humana”. La integración de memoria en segundo plano, la transferencia de conocimiento entre sesiones, el razonamiento autónomo en momentos de inactividad—cuando estas capacidades maduren, cambiarán por completo el modo básico de colaboración entre Agent y humanos.

3. La anti-destilación y la protección de la propiedad intelectual se convertirán en nuevos temas base de la ingeniería de IA

Anthropic implementó el mecanismo de anti-destilación a nivel de código, lo que anticipa que se está formando un nuevo campo de ingeniería: cómo evitar que los propios sistemas de IA sean usados por competidores para la recolección de datos de entrenamiento. Esto no es solo un problema técnico, sino que evolucionará hacia un nuevo frente en la batalla legal y comercial.

4. La seguridad de la cadena de suministro es el talón de Aquiles de las herramientas de IA

Cuando las herramientas de programación con IA se distribuyen mediante gestores públicos de paquetes de software como npm, enfrentan riesgos de ataques a la cadena de suministro igual que cualquier otro software de código abierto. Y la particularidad de las herramientas de IA es que, una vez que se instala una puerta trasera, el atacante obtiene no solo el permiso de ejecución de código, sino una penetración profunda de todo el flujo de trabajo de desarrollo.

5. Cuanto más complejo sea el sistema, más se necesita la automatización de la “guardia” de publicación

“Una configuración errónea de .npmignore o el campo files en package.json puede exponerlo todo”. Para cualquier equipo que construya productos de agentes con IA, esta lección no requiere pagar un costo tan alto para aprenderla: introducir revisiones automatizadas del contenido publicado en la canalización CI/CD debería convertirse en una práctica estándar, en lugar de un remedio después de llegar tarde.

Epílogo

Hoy es 1 de abril de 2026, el Día de los Inocentes. Pero esto no es una broma.

Anthropic cometió el mismo error dos veces en 13 meses. El código fuente ya fue replicado en todo el mundo; las solicitudes de borrado por DMCA no alcanzan la velocidad de los forks. Esa hoja de ruta de producto, que debía permanecer oculta en la red interna, ahora es material de referencia para todos.

Para Anthropic, esto es una lección dolorosa.

Para toda la industria, es un momento inesperado de transparencia—que nos permite ver, línea por línea, cómo se construye el agente de programación con IA más avanzado en la actualidad.