Se filtró el código de Claude Code
La industria de la inteligencia artificial alcanzó un punto de inflexión crítico el 31 de marzo de 2026, cuando una serie de errores de configuración operativa en Anthropic resultó en la exposición masiva del código fuente de su herramienta insignia de desarrollo, Claude Code. Este incidente, ocurrido justo antes de una API valorada en 380.000 millones de dólares, no solo reveló los secretos técnicos de uno de los sistemas agénticos más avanzados del mercado, sino que también desencadenó una reevaluación global de la seguridad en la cadena de suministro de software y de la naturaleza de la propiedad intelectual en la era de la IA generativa.
A través de un mapa de fuente (source map) publicado por error en el
registro público de npm, la comunidad de desarrolladores obtuvo acceso
a más de 512.000 líneas de código TypeScript, desglosadas en
aproximadamente 1.900 archivos que conforman el “harness”
o arnés agéntico que permite a los modelos de lenguaje de Anthropic
operar de manera autónoma en entornos locales.
La Anatomía del Incidente: Mecanismo de Fuga y Cronología
El origen de la filtración no fue un ciberataque sofisticado ni una
intrusión maliciosa de terceros, sino una falla fundamental en los
procesos de empaquetado y liberación de software dentro de Anthropic.
El 30 de marzo de 2026, la empresa publicó la
versión 2.1.88 del paquete @anthropic-ai/claude-code en el
registro de npm. Aunque el código de producción
estaba minificado para mejorar el rendimiento, el paquete incluía
inadvertidamente un archivo de mapa de fuente (source map) de
59,8 MB denominado cli.js.map. En el desarrollo de software moderno,
estos archivos se utilizan para depurar errores, permitiendo que el código comprimido y ofuscado se
asocie de nuevo con el código fuente original legible por humanos.
El origen de la filtración no fue un ciberataque sofisticado ni una intrusión maliciosa de terceros, sino una falla fundamental en los procesos de empaquetado y liberación de software dentro de Anthropic. El 30 de marzo de 2026, la empresa publicó la versión 2.1.88 del paquete @anthropic-ai/claude-code en el registro de npm. Aunque el código de producción estaba minificado para mejorar el rendimiento, el paquete incluía inadvertidamente un archivo de mapa de fuente (source map) de 59,8 MB denominado cli.js.map. En el desarrollo de software moderno, estos archivos se utilizan para depurar errores, permitiendo que el código comprimido y ofuscado se asocie de nuevo con el código fuente original legible por humanos.
La falla técnica específica se atribuye al uso de Bun
como entorno de ejecución de JavaScript, una tecnología que Anthropic
había integrado profundamente en su pila tecnológica tras adquirirla a
finales de 2025. Por defecto, el empaquetador de
Bun genera mapas de fuente a menos que se excluyan explícitamente
mediante reglas de configuración o un archivo .npmignore. En este
caso, una sola línea omitida en la configuración de exclusión permitió
que el archivo cli.js.map hiciera referencia a un archivo comprimido alojado
en un bucket de almacenamiento Cloudflare R2 de Anthropic.
Al descargar este archivo, los investigadores pudieron reconstruir el
árbol completo de TypeScript, con comentarios, estructuras de carpetas
originales y lógica interna intacta.
El investigador de seguridad Chaofan Shou fue el primero en notar la anomalía el 31 de marzo a las 08:23 UTC. Su publicación en X (anteriormente Twitter) actuó como una bengala digital, atrayendo más de 28 millones de vistas en pocas horas y provocando una carrera desesperada por parte de Anthropic para mitigar el daño. A pesar de que la empresa eliminó el paquete afectado en cuestión de horas, el código ya había sido clonado y distribuido en plataformas descentralizadas y repositorios espejo de GitHub, donde acumuló decenas de miles de estrellas y bifurcaciones (forks) casi instantáneamente.
Cronología del Incidente (31 de Marzo de 2026)
| Hora (UTC) | Evento Clave |
|---|---|
| ~01:00 | Lanzamiento de la versión 2.1.88 con el archivo .map incluido. |
| 08:23 | Chaofan Shou identifica la fuga y publica el enlace de descarga en X. |
| 10:00 | Anthropic retira el paquete de npm y comienza la emisión de avisos DMCA. |
| 12:00 | Los espejos en GitHub superan las 40.000 bifurcaciones. |
| 16:00 | Sigrid Jin publica la versión inicial de “claw-code” en Python. |
| Tarde | Anthropic confirma que no hubo exposición de datos de clientes ni pesos del modelo. |
Análisis de la Arquitectura Filtrada: El Corazón de Claude Code
La filtración permitió a la industria observar por primera vez la
complejidad real de lo que muchos consideraban inicialmente como un
simple envoltorio (wrapper) de terminal para una API. Claude Code se
reveló como un sistema de orquestación multi-agente de nivel de
producción, diseñado para gestionar el determinismo y la fiabilidad en
tareas de ingeniería de software complejas. La
base de código está organizada en capas diferenciadas que gestionan
desde la renderización de la interfaz de usuario en la terminal hasta
la coordinación de múltiples instancias de IA trabajando en
paralelo.
Capas del Sistema y Diseño de Ingeniería
La arquitectura de Claude Code se divide en cuatro capas críticas identificadas por los ingenieros que auditaron el código filtrado. En primer lugar, la capa de interfaz de usuario utiliza un sistema de renderizado personalizado basado en React e Ink, que emplea técnicas avanzadas de motores de juegos, como un pool de caracteres ASCII respaldado por Int32Array y metadatos de estilo codificados por bits. Esta optimización permite una reducción de 50 veces en las llamadas a funciones de ancho de cadena (stringWidth) durante la transmisión de tokens, lo cual es esencial para mantener la fluidez en la terminal mientras la IA genera código en tiempo real.
En segundo lugar, la capa de comandos utiliza Commander.js para
gestionar una amplia gama de subcomandos y herramientas locales.
Tercero, la capa de herramientas (tools layer) implementa una
arquitectura de complementos modular donde cada capacidad —como
la lectura de archivos, la ejecución de bash o la integración con
git— está aislada y protegida por permisos.
Finalmente, la capa de orquestación y agentes es la más sofisticada,
gestionando colas de tareas y la generación de sub-agentes para la
ejecución paralela.
Distribución del Código por Directorios
| Directorio | Archivos | Líneas (Aprox.) | Función Principal |
|---|---|---|---|
| utils/ | 564 | 15.000 | Funciones auxiliares y lógica compartida. |
| components/ | 389 | 29.000 | Componentes de la interfaz de terminal (Ink). |
| commands/ | 207 | 12.000 | Lógica de los comandos CLI. |
| tools/ | 184 | 46.000 | Interfaz con el sistema operativo y APIs. |
| coordinator/ | 130 | 10.000 | Gestión de agentes y tareas paralelas. |
| Total | ~1.900 | ~512.000 | Arnés Agéntico Completo |
Gestión de Memoria y Orquestación de Agentes
Uno de los hallazgos más profundos en la lógica interna es el sistema
de memoria de tres capas. Este sistema utiliza un archivo central
llamado MEMORY.md que almacena referencias cortas en lugar de
información completa, obligando al agente a verificar cada hecho
contra la base de código real antes de actuar.
Este diseño de “desconfianza sistemática” es lo que
permite a Claude Code evitar alucinaciones destructivas en grandes
repositorios, ya que el agente trata su propia memoria solo como una
pista y no como una verdad absoluta.
Además, el código reveló el uso de “enjambres” (swarms)
internos, donde un agente coordinador puede generar múltiples agentes
trabajadores con permisos específicos para realizar refactorizaciones
multiactividad. Este enfoque de orquestación
basado en gráficos acíclicos dirigidos (DAG) permite que las tareas
complejas se descompongan en sub-problemas que se resuelvan
simultáneamente, una técnica que Anthropic ha perfeccionado para
superar las limitaciones de la ventana de contexto de los modelos
individuales.
Funcionalidades Ocultas y el Roadmap Estratégico
Más allá de la arquitectura actual, la filtración expuso 108 módulos
protegidos por banderas de características (feature flags) que no
estaban activos en la versión pública, proporcionando una visión sin
precedentes de la hoja de ruta de Anthropic.
Entre estas funciones se encuentran sistemas de automatización
avanzada y elementos de gamificación que buscan transformar la
relación entre el desarrollador y su herramienta de IA.
KAIROS: El Agente Persistente
La funcionalidad codenamed “KAIROS” es descrita en el
código como un asistente de fondo siempre activo.
A diferencia de la interacción actual basada en solicitudes, KAIROS
mantiene registros diarios de cambios en el entorno de desarrollo y
puede realizar “tareas de ensueño” (dreamtasks) durante
los periodos de inactividad del usuario. Estos
procesos de consolidación de memoria permiten que la IA entienda la
evolución de un proyecto a largo plazo, identificando inconsistencias
arquitectónicas o sugerencias de optimización antes de que el
desarrollador las solicite.
El Sistema Buddy y la Gamificación del Desarrollo
Una de las sorpresas más comentadas fue el sistema “Buddy”, un compañero virtual al estilo Tamagotchi integrado en la línea de estado de la terminal. Este sistema asigna a cada usuario una mascota ASCII única basada en un hash determinista de su ID de cuenta. Con 18 especies diferentes —incluyendo capibaras, dragones y fantasmas—, el sistema incluye una mecánica de rareza gacha y estadísticas que reaccionan al comportamiento del desarrollador.
Estadísticas de Buddy
| Estadística | Efecto en la Interacción |
|---|---|
| DEBUGGING | Probabilidad de que la mascota señale errores de sintaxis. |
| PATIENCE | Nivel de “tolerancia” antes de que la mascota muestre signos de cansancio. |
| CHAOS | Frecuencia de animaciones ASCII inesperadas o comentarios sarcásticos. |
| WISDOM | Calidad de las citas filosóficas o consejos arquitectónicos. |
| SNARK | Nivel de sarcasmo en las respuestas reactivas. |
La probabilidad de obtener una mascota “Legendaria Shiny” es de apenas 1 entre 10.000, lo que indica un intento de Anthropic por fomentar la retención de usuarios a través de elementos de colección. Aunque las notas internas sugieren que esta era una característica planificada para el Día de los Inocentes (April Fools) de 2026, la profundidad de la implementación —que incluye ciclos de parpadeo, fidgeting y reacciones emocionales a la resolución de errores— sugiere que Anthropic ve la gamificación como una capa clave para reducir la fricción en sesiones de codificación prolongadas.
Undercover Mode: El Sigilo de la IA
Una característica que generó debate ético fue el “Undercover
Mode”. Este subsistema está diseñado para que la IA oculte su
identidad al realizar contribuciones en repositorios públicos de
GitHub. Las instrucciones del sistema encontradas
en el código prohíben explícitamente a Claude mencionar codenames
internos o dejar rastros que revelen que el código fue generado por
una IA. El código contiene una comprobación para
identificar a los empleados de Anthropic (USER_TYPE === 'ant'), activando automáticamente este modo para proteger la privacidad de
sus ingenieros y evitar que la competencia rastree sus flujos de
trabajo internos.
El Impacto de la Fuga de Claude Mythos y Capybara
Días antes de la filtración del código fuente de Claude Code, Anthropic sufrió otro incidente relacionado con una mala configuración en su sistema de gestión de contenidos (CMS). Este error expuso borradores de anuncios para un nuevo modelo de IA llamado “Claude Mythos”, perteneciente a un nivel de modelo superior denominado “Capybara”. Los documentos filtrados describen a Mythos como un “cambio radical” (step change) en el rendimiento, superando significativamente a Claude Opus 4.6 en tareas de ciberseguridad, razonamiento académico y programación.
La noticia de un modelo con capacidades de explotación de vulnerabilidades sin precedentes provocó una caída masiva en el valor de las acciones de las principales empresas de ciberseguridad. El mercado reaccionó con temor ante la posibilidad de que una IA capaz de detectar y explotar fallos a una velocidad superior a los defensores humanos pudiera volver obsoletas las soluciones de seguridad tradicionales.
Impacto en el Mercado (27 de Marzo de 2026)
| Empresa de Ciberseguridad | Caída | Pérdida de Capitalización |
|---|---|---|
| Palo Alto Networks (PANW) | -6,43% | $7.500 Millones |
| CrowdStrike (CRWD) | -5,85% | $5.500 Millones |
| Zscaler (ZS) | -5,89% | $1.350 Millones |
| Tenable (TENB) | -9,70% | — |
| Impacto Total Estimado | — | $14.500 Millones |
Anthropic confirmó la existencia del modelo Mythos, pero enfatizó que su lanzamiento se manejaría con “extrema precaución”, priorizando el acceso para organizaciones de ciberdefensa antes que una disponibilidad general. Sin embargo, la filtración del código de Claude Code reveló que la CLI ya estaba siendo preparada para integrarse con estos modelos de razonamiento avanzado, confirmando que la infraestructura de la herramienta está diseñada para ser compatible con potentes motores de IA que pueden planificar y ejecutar secuencias de acciones de forma autónoma.
Reacción de la Empresa y Estrategia de Contención
Ante la magnitud de la fuga, Anthropic implementó una estrategia de contención agresiva centrada en la protección de su propiedad intelectual y la seguridad de sus usuarios. Un portavoz de la empresa subrayó que no se comprometieron credenciales de clientes ni pesos del modelo, calificando el incidente como un “problema de empaquetado de lanzamiento causado por error humano”.
El Dilema del DMCA y la Propiedad Intelectual
Anthropic emitió miles de avisos de eliminación bajo la Ley de Derechos de Autor del Milenio Digital (DMCA) para intentar borrar los espejos del código en GitHub. No obstante, esta táctica se enfrentó a un desafío legal inesperado: Anthropic ha declarado públicamente que el 90% del código de Claude Code fue generado por la propia IA. Bajo la interpretación actual de las leyes de derechos de autor en Estados Unidos y otros países, el trabajo generado por IA carece de un autor humano y, por lo tanto, podría no ser elegible para la protección de copyright.
Este vacío legal fue aprovechado por desarrolladores para realizar “reimplementaciones de sala limpia” (clean-room rewrites). El caso más notable es el del desarrollador surcoreano Sigrid Jin, quien en apenas ocho horas reescribió la arquitectura central de Claude Code en Python, lanzando el proyecto “claw-code”. Dado que Jin utilizó herramientas de orquestación de IA para replicar los patrones arquitectónicos sin copiar directamente los archivos TypeScript originales, su proyecto se considera una obra creativa nueva y, teóricamente, es inmune a las reclamaciones de copyright tradicionales.
Transición hacia Instaladores Nativos
Como medida de seguridad a largo plazo, Anthropic comenzó a desaconsejar el uso de npm para la instalación de sus herramientas, promoviendo en su lugar instaladores nativos basados en binarios firmados y distribuidos directamente a través de sus propios canales. Este cambio busca evitar la volatilidad de la cadena de suministro de npm, que durante la misma semana de la filtración sufrió un ataque separado que afectó a la biblioteca axios, una dependencia de Claude Code.
Acciones de los Usuarios y la Comunidad de Desarrolladores
La comunidad reaccionó con una mezcla de curiosidad técnica y oportunismo pragmático. Miles de desarrolladores descargaron el código no solo para entender cómo Anthropic construye sus agentes, sino también para crear versiones modificadas que eliminan las restricciones impuestas por la empresa.
Proyectos como “free code” han surgido con el objetivo de eliminar la telemetría y los guardrails, permitiendo que Claude Code se conecte a modelos de competidores o ejecute comandos de bash sin la supervisión de seguridad estándar. Otros grupos se dedicaron a auditar la seguridad del código, descubriendo que el 3,2% de los commits realizados con la ayuda de Claude Code contenían fugas accidentales de secretos o credenciales, una tasa significativamente superior al promedio de la industria del 1,5%.
El Fenómeno de claw-code
El proyecto “claw-code” de Sigrid Jin se convirtió en el repositorio de mayor crecimiento en la historia de GitHub, superando las 100.000 estrellas en tiempo récord. Este fenómeno demuestra cómo la velocidad de la comunidad puede superar a los departamentos legales de las grandes empresas tecnológicas. La existencia de una versión funcional en Rust y Python garantiza que la lógica operativa de Claude Code permanecerá accesible de forma permanente, independientemente de los esfuerzos de Anthropic por eliminar los archivos originales.
Comparativa de Ecosistemas
| Claude Code (Oficial) | Claw-code (Comunidad) | |
|---|---|---|
| Lenguaje Principal | TypeScript | Python / Rust |
| Modelo de Distribución | Cerrado (npm/Binary) | Abierto (GitHub) |
| Estado Legal | Copyright en disputa | Obra nueva / Sala limpia |
| Soporte de Modelos | Solo Claude | Multi-modelo (OpenAI, Qwen, etc.) |
| Funciones Experimentales | Bloqueadas por banderas | Desbloqueadas por defecto |
Implicaciones Críticas para la Seguridad Empresarial
La exposición de 512.000 líneas de código ha proporcionado a los
actores de amenazas un mapa detallado de cómo atacar los sistemas que
utilizan agentes de IA. Los investigadores de seguridad han
identificado varios vectores de ataque que las empresas que
implementan estos agentes deben mitigar de inmediato.
Envenenamiento de Contexto y Permisos de Bash
Un riesgo crítico identificado es el “envenenamiento de
contexto” a través del archivo CLAUDE.md. Los agentes como
Claude Code confían plenamente en las instrucciones contenidas en
estos archivos de configuración del proyecto.
Un atacante podría insertar directivas maliciosas en un repositorio
público que, al ser clonado y analizado por el agente de un
desarrollador, podrían forzar la exfiltración de datos o la ejecución
de comandos de bash peligrosos sin el consentimiento explícito del
usuario.
Además, la filtración reveló que muchos desarrolladores tienden a otorgar permisos amplios de ejecución de comandos por comodidad, lo que, combinado con la capacidad de la IA para operar de forma autónoma, crea una superficie de ataque masiva para el movimiento lateral dentro de las redes corporativas. Expertos de firmas como CrowdStrike han advertido que el “problema de permisos” expuesto en la filtración refleja un patrón peligroso en la adopción empresarial de agentes.
Recomendaciones Estratégicas para Líderes de Seguridad
Tras el análisis de la filtración, se han propuesto cinco acciones inmediatas para los líderes de seguridad en empresas que utilizan agentes de codificación de IA:
-
Auditoría de Configuración: Revisar todos los archivos
CLAUDE.mdy.claude/config.jsonen repositorios clonados para detectar instrucciones de inyección de prompts. -
Tratamiento de Servidores MCP: Considerar los servidores de
Model Context rotocolcomo dependencias no confiables, monitoreando sus conexiones salientes. - Restricción de Bash: Desactivar la aprobación automática de comandos de shell y limitar el acceso del agente a directorios críticos del sistema.
- Escaneo de Secretos: Implementar escaneos de pre-commit para evitar que los agentes filtren credenciales de servicios de IA, una vulnerabilidad que ha crecido un 81% año tras año.
- Rotación de Credenciales: Para cualquier equipo que haya actualizado Claude Code a través de npm durante la ventana crítica del 31 de marzo, se recomienda rotar todas las claves de API y considerar la reinstalación de los sistemas operativos si se detectan paquetes sospechosos en los lockfiles.
Conclusiones: El Futuro de la IA Agéntica Post-Filtración
La filtración de Claude Code no es simplemente un error de empaquetado; es un evento que ha democratizado el conocimiento sobre la construcción de agentes de IA de alto rendimiento. Anthropic, a pesar de sus esfuerzos de contención, ha perdido el monopolio sobre la “artesanía” de su orquestación agéntica. La disponibilidad del código fuente permite que competidores y startups repliquen en semanas lo que a Anthropic le tomó años y miles de millones de dólares desarrollar.
Sin embargo, el incidente también ha humanizado a una de las empresas de IA más valoradas del mundo. El descubrimiento de un código lleno de TODOs, hacks para dependencias circulares y mascotas virtuales Snarky ha resonado con la comunidad de desarrolladores, quienes ahora ven a Anthropic no como una entidad infalible, sino como un equipo de ingenieros que lidia con la deuda técnica y la presión del mercado de la misma manera que ellos.
A largo plazo, esta filtración podría forzar a la industria a moverse
hacia una mayor transparencia y estandarización de los protocolos
agénticos. Con el arnés de Claude Code ahora en el dominio público de
facto, es probable que surja un nuevo estándar de código abierto para
agentes, basado en las lecciones arquitectónicas aprendidas de esta
exposición accidental. La era de los agentes de IA cerrados y
misteriosos está llegando a su fin, dando paso a un ecosistema donde
la verdadera diferenciación no residirá en la orquestación
superficial, sino en la capacidad bruta de razonamiento de los modelos
subyacentes y en la robustez de sus medidas de seguridad.
Referencias
- Claude Code Leaked Source: BUDDY, KAIROS & Every Hidden Feature Inside, fecha de acceso: abril 2, 2026
- Claude Code's Source Code Appears to Have Leaked—Here's What We Know, VentureBeat, fecha de acceso: abril 2, 2026
- Source Code for Anthropic's Claude Code Leaks at the Exact Wrong Time, Gizmodo, fecha de acceso: abril 2, 2026
- The Claude Code Leak: 512,000 Lines of TypeScript and What They Reveal, Medium, fecha de acceso: abril 2, 2026
- Claude Code Leak. On March 30, 2026, Anthropic published… | by Onix React | Apr, 2026, fecha de acceso: abril 2, 2026
- What Claude Code's Source Leak Actually Reveals | by Marc Bara - Medium, fecha de acceso: abril 2, 2026
- Anthropic confirms @anthropic-ai/claude-code 2.1.88 npm leak on March 31, 2026 - BingX, fecha de acceso: abril 2, 2026
- Anthropic Claude Code Leak | ThreatLabz, fecha de acceso: abril 2, 2026
- The Day Anthropic Accidentally Open-Sourced Their Crown Jewel | by Sachin Sharma | Cloud & Business Transformation | Apr, 2026 | DevSecOps & AI - Medium, fecha de acceso: abril 2, 2026
- The Claude Code leak in four charts: half a million lines, three accidents, forty tools, fecha de acceso: abril 2, 2026
- Claude Code Leaked Source: BUDDY, KAIROS & Every Hidden Feature Inside, fecha de acceso: abril 2, 2026
- Anthropic accidentally exposes Claude Code secrets for second time in a week, fecha de acceso: abril 2, 2026
- Anthropic Claude source code leak explained: Techie reveals how a 4 am update exposed 512,000 lines of code, fecha de acceso: abril 2, 2026
- Claude Code Source Code "Rebranded" Amid Wild Web Cloning, Anthropic's Blocking Attempt Fails -, fecha de acceso: abril 2, 2026
- Anthropic's AI Agent Claude leak that it termed 'human error' has exposed commercially, fecha de acceso: abril 2, 2026
- Found the hidden pet system in the Claude Code leak — it's a full gacha with shinies : r/ClaudeAI - Reddit, fecha de acceso: abril 2, 2026
- Anthropic Accidentally Leaked Claude Code's Source—The Internet Is Keeping It Forever, fecha de acceso: abril 2, 2026
- Anthropic Just Leaked Upcoming Model With "Unprecedented Cybersecurity Risks" in the Most Ironic Way Possible, fecha de acceso: abril 2, 2026
- Meet Claude Mythos: Anthropic accidentally leaks unreleased AI model with severe cybersecurity risks, fecha de acceso: abril 2, 2026
- What is Anthropic Claude Mythos? Everything to know about viral leaked AI model that set alarms in cybersecurity, fecha de acceso: abril 2, 2026
- In the wake of Claude Code's source code leak, 5 actions enterprise security leaders should take now | VentureBeat, fecha de acceso: abril 2, 2026
- Leaked Claude Code source spawns GitHub's fastest repo | Cybernews, fecha de acceso: abril 2, 2026
