Claude Code fuente filtrada: el efecto mariposa causado por un archivo .map

Redacción: Claude

I. Origen

A la madrugada del 31 de marzo de 2026, un tuit desató una gran conmoción en la comunidad de desarrolladores.

Chaofan Shou, un becario de una empresa de seguridad blockchain, descubrió que el paquete oficial de npm de Anthropic incluía un archivo de source map, exponiendo al público el código fuente completo de Claude Code. Enseguida publicó este hallazgo en X, adjuntando un enlace directo de descarga.

Este post estalló en la comunidad de desarrolladores como una bengala. En cuestión de horas, más de 512k líneas de código TypeScript se reflejaron en GitHub, y miles de desarrolladores lo analizaron en tiempo real.

Este es el segundo gran incidente de filtración de información ocurrido en menos de una semana en Anthropic.

Justo cinco días antes (26 de marzo), un error de configuración del CMS de Anthropic provocó la exposición de casi 3.000 archivos internos, que incluían borradores de artículos de blog sobre el modelo “Claude Mythos”, que se publicaría pronto.

II. ¿Cómo ocurrió la filtración?

La causa técnica de este incidente resulta casi ridícula: el motivo fundamental es que el paquete npm incluía por error un archivo source map (.map).

El propósito de este tipo de archivos es mapear el código de producción comprimido y ofuscado de vuelta al código fuente original, para facilitar la localización de los números de línea del error durante la depuración. Y en este archivo .map hay un enlace que apunta a un paquete zip dentro del almacenamiento Cloudflare R2 de Anthropic.

Shou y otros desarrolladores descargaron directamente ese paquete zip, sin necesidad de ningún método de hackeo. El archivo estaba ahí, completamente público.

La versión problemática fue la v2.1.88 de @anthropic-ai/claude-code, que venía con un archivo de JavaScript source map de 59,8MB.

En su respuesta a una declaración de The Register, Anthropic admitió: “Una versión anterior de Claude Code también sufrió una filtración similar del código fuente en febrero de 2025”. Esto significa que el mismo error ocurrió dos veces en 13 meses.

La ironía es que dentro de Claude Code existe un sistema llamado “Undercover Mode (modo encubierto)”, diseñado específicamente para evitar que los códigos internos de Anthropic se filtren accidentalmente en los registros de commits de git… y luego los ingenieros empaquetaron todo el código fuente en un archivo .map.

Otro posible impulsor del incidente fue la propia cadena de herramientas: a finales de año, Anthropic adquirió Bun, y Claude Code se construye precisamente sobre Bun. El 11 de marzo de 2026, alguien presentó un informe de bug en el sistema de seguimiento de issues de Bun (#28001), señalando que Bun todavía generaría y emitiría source map en modo de producción, contradiciendo lo que dicen los documentos oficiales. Este issue sigue abierto hasta hoy.

Ante esto, la respuesta oficial de Anthropic fue breve y contenida: “No se involucran ni se filtran datos de usuarios o credenciales. Esto es un error humano durante el proceso de empaquetado y publicación, no una vulnerabilidad de seguridad. Estamos avanzando con medidas para evitar que ocurran eventos como este nuevamente”.

III. ¿Qué se filtró?

Tamaño del código

El contenido de esta filtración abarca aproximadamente 1.900 archivos y más de 500k líneas de código. Esto no son pesos de modelo, sino la implementación de “capa de software” completa de Claude Code —incluye el marco de llamadas a herramientas, orquestación de agentes múltiples, sistema de permisos, sistema de memoria y otras arquitecturas centrales.

Hoja de ruta de funcionalidades no publicadas

Esta es la parte de mayor valor estratégico de la filtración.

Proceso de guardián autónomo KAIROS: este código de función, mencionado más de 150 veces, proviene del griego antiguo por “el momento oportuno” y representa el cambio fundamental de Claude Code hacia un “Agent de backend permanente”. KAIROS incluye un proceso llamado autoDream, que ejecuta la “integración de memoria” cuando el usuario está inactivo: combina observaciones fragmentadas, elimina contradicciones lógicas y convierte percepciones ambiguas en hechos deterministas. Cuando el usuario regresa, el contexto del Agent ya está limpio y altamente relevante.

Códigos internos de modelos y datos de rendimiento: el contenido filtrado confirma que Capybara es el nombre interno de una variante de Claude 4.6; Fennec corresponde a Opus 4.6; y el Numbat, aún no publicado, sigue en pruebas. En los comentarios del código también se expone que Capybara v8 tiene una tasa de declaraciones falsas del 29-30%, frente al 16,7% de v4, lo cual supone un retroceso.

Mecanismo anti-destilación (Anti-Distillation): en el código existe un indicador de función llamado ANTI_DISTILLATION_CC. Al habilitarlo, Claude Code inyecta definiciones falsas de herramientas en las solicitudes de API con el objetivo de contaminar los datos de tráfico de API que los competidores podrían usar para entrenar modelos.

Lista de funciones beta de la API: el archivo constants/betas.ts revela todas las funciones beta que Claude Code negocia con la API, incluyendo la ventana de contexto de 1M token (context-1m-2025-08-07), el modo AFK (afk-mode-2026-01-31), la gestión de presupuestos de tareas (task-budgets-2026-03-13) y una serie de capacidades aún no publicadas.

Sistema embebido de compañeros virtuales tipo Pokémon: incluso hay una suite completa de compañeros virtuales (Buddy) escondida en el código, que incluye rareza de especies, variantes brillantes, atributos generados de forma programática y “descripciones del alma” redactadas por Claude durante la primera incubación. Las categorías de compañeros se determinan mediante un generador pseudoaleatorio determinista basado en el hash del ID de usuario: el mismo usuario obtiene siempre el mismo compañero.

IV. Ataques concurrentes a la cadena de suministro

Este incidente no ocurrió de forma aislada. Dentro de la misma ventana temporal en la que se filtró el código fuente, el paquete axios en npm fue objeto de un ataque independiente a la cadena de suministro.

Entre las 00:21 y las 03:29 UTC del 31 de marzo de 2026, si se instalaba o actualizaba Claude Code mediante npm, podría haberse introducido inadvertidamente una versión maliciosa que contenía un troyano de acceso remoto (RAT) (axios 1.14.1 o 0.30.4).

Anthropic sugirió que los desarrolladores afectados consideraran el host como totalmente comprometido, rotaran todas las claves y reinstalaran el sistema operativo.

El solapamiento temporal de estos dos eventos hizo la situación aún más confusa y peligrosa.

V. Impacto en la industria

Daño directo a Anthropic

Para una empresa con ingresos anuales aproximados de 19.000 millones de dólares y en un periodo de crecimiento acelerado, esta filtración no es solo una negligencia de seguridad: es una pérdida de propiedad intelectual estratégica.

Al menos parte de las capacidades de Claude Code no proviene del modelo de lenguaje base en sí, sino del “marco” de software construido alrededor del modelo: guía cómo el modelo usa herramientas y proporciona salvaguardas e instrucciones importantes para estandarizar el comportamiento del modelo.

Estas salvaguardas e instrucciones ahora son perfectamente visibles para los competidores.

Advertencia para todo el ecosistema de herramientas de AI Agent

Esta filtración no hundirá a Anthropic, pero le ofrece a todos los competidores un manual de ingeniería gratuito: cómo construir agentes de programación de IA a nivel de producción, y qué líneas de herramientas vale la pena priorizar.

El valor real del contenido filtrado no está en el código en sí, sino en la hoja de ruta del producto que revelan las marcas de funciones. KAIROS, el mecanismo anti-destilación: estos son detalles estratégicos que los competidores ya pueden anticipar y reaccionar con ventaja. El código se puede reestructurar, pero una sorpresa estratégica, una vez filtrada, no se puede recuperar.

VI. Revelaciones profundas sobre Agent Coding

Esta filtración es un espejo que refleja varios enunciados centrales de la ingeniería de AI Agent actual:

1. Los límites de capacidad de un Agent, en gran medida, los determina el “nivel de marco”, no el modelo en sí

La exposición de las 500k líneas de código de Claude Code revela un hecho significativo para toda la industria: con el mismo modelo base, si se le añade un marco de orquestación de herramientas diferente, mecanismos de gestión de memoria y un sistema de permisos distinto, se producen capacidades de Agent completamente diferentes. Esto significa que “quién tiene el modelo más fuerte” ya no es la única dimensión competitiva: “quién tiene una ingeniería de marcos más esmerada” también es igual de crucial.

2. La autonomía de largo alcance es el siguiente campo de batalla principal

La existencia del proceso guardián KAIROS indica que la competencia del siguiente paso de la industria se centrará en “hacer que el Agent pueda seguir trabajando de forma efectiva incluso sin supervisión humana”. La integración de memoria en segundo plano, la transferencia de conocimiento entre sesiones y el razonamiento autónomo durante el tiempo de inactividad: cuando estas capacidades maduren, cambiarán por completo el modo básico de colaboración entre Agents y humanos.

3. La anti-destilación y la protección de propiedad intelectual se convertirán en un nuevo tema base de la ingeniería de IA

Anthropic implementó el mecanismo anti-destilación a nivel de código, lo que anticipa que se está formando un nuevo campo de ingeniería: cómo evitar que los propios sistemas de IA se utilicen para la recolección de datos de entrenamiento por parte de competidores. Esto no es solo un problema técnico: también evolucionará hasta convertirse en un nuevo campo de batalla de pugnas legales y comerciales.

4. La seguridad de la cadena de suministro es el talón de Aquiles de las herramientas de IA

Cuando las herramientas de programación de IA se distribuyen mediante gestores de paquetes de software públicos como npm, se enfrentan al riesgo de ataques a la cadena de suministro, como cualquier otro software de código abierto. Y la particularidad de las herramientas de IA es que, una vez que se inserta una puerta trasera, los atacantes obtienen no solo el permiso de ejecución de código, sino una infiltración profunda del flujo de trabajo de desarrollo completo.

5. Cuanto más complejo es el sistema, más se necesita automatizar los guardas de publicación

“Un .npmignore mal configurado o el campo files en package.json pueden exponerlo todo”. Para cualquier equipo que construya productos de AI Agent, esta lección no necesita pagarse con un costo tan alto para aprenderla: incorporar revisiones automatizadas del contenido de publicación en la canalización CI/CD debería ser una práctica estándar, en lugar de una medida de rescate después de haber lamentado lo ocurrido.

Epílogo

Hoy es 1 de abril de 2026, Día de los Inocentes. Pero esto no es una broma.

Anthropic cometió el mismo error dos veces en 13 meses. El código fuente ya se replicó en todo el mundo; las solicitudes de eliminación DMCA no alcanzan la velocidad de los forks. Esa hoja de ruta del producto que debería haberse mantenido profundamente oculta en la red interna, ahora es material de referencia para todos.

Para Anthropic, esto es una lección dolorosa.

Para toda la industria, es un momento inesperadamente transparente: nos permite ver exactamente cómo se construye, línea por línea, el Agent de programación de IA más avanzado de la actualidad.