Claude Code fuente filtrada: el efecto mariposa causado por un archivo .map

Escrito por: Claude

1. Origen

El 31 de marzo de 2026, de madrugada, un tuit en la comunidad de desarrolladores desató una gran conmoción.

Chaofan Shou, un becario de una empresa de seguridad blockchain, descubrió que el paquete npm oficial de Anthropic incluía un archivo source map, dejando al descubierto en Internet el código fuente completo de Claude Code. Inmediatamente publicó este hallazgo en X, junto con un enlace de descarga directa.

Esta publicación explotó en la comunidad de desarrolladores como un cohete señalizador. En cuestión de horas, más de 512k líneas de código TypeScript fueron replicadas en GitHub y analizadas en tiempo real por miles de desarrolladores.

Este es el segundo gran incidente de filtración de información importante ocurrido en menos de una semana en Anthropic.

Justo cinco días antes (26 de marzo), un error de configuración de CMS en Anthropic provocó que quedaran expuestos casi 3000 archivos internos, que incluían borradores de artículos de blog sobre el inminente modelo “Claude Mythos”.

2. ¿Cómo ocurrió la filtración?

La razón técnica de este incidente resulta casi cómica: la causa raíz fue que, en el paquete npm, se incluyó por error un archivo source map (.map).

Este tipo de archivo se usa para mapear el código de producción comprimido y ofuscado de vuelta al código fuente original, facilitando la localización de líneas de error al depurar. Y ese archivo .map contiene un enlace a un paquete zip alojado en un bucket de almacenamiento Cloudflare R2 propio de Anthropic.

Shou y otros desarrolladores descargaron directamente ese zip, sin necesidad de ningún método de hackeo. El archivo estaba ahí, completamente público.

La versión que causó el problema fue la v2.1.88 de @anthropic-ai/claude-code, la cual incluía un archivo JavaScript source map de 59.8MB.

En su respuesta a una declaración de The Register, Anthropic admitió: “Una versión anterior de Claude Code ya tuvo una filtración similar del código fuente en febrero de 2025”. Esto significa que el mismo error ocurrió dos veces en 13 meses.

Irónicamente, dentro de Claude Code existe un sistema llamado “Undercover Mode (modo encubierto)”, diseñado específicamente para evitar que los códigos internos de Anthropic se filtren accidentalmente en los historiales de commits de git… y entonces, los ingenieros empacaron todo el código fuente en un archivo .map.

Otro posible impulsor del incidente pudo ser la propia cadena de herramientas: a finales de año, Anthropic adquirió Bun, y Claude Code se construye precisamente con Bun. El 11 de marzo de 2026, alguien envió un informe de bug en el sistema de seguimiento de issues de Bun (#28001), señalando que Bun en modo de producción aún genera y emite source maps, contradiciendo lo que dicen los documentos oficiales. Este issue sigue abierto hasta hoy.

Ante esto, la respuesta oficial de Anthropic fue breve y contenida: “No se vio involucrado ni filtró ningún dato ni credenciales de usuarios. Esto es un error humano en un proceso de empaquetado y publicación, no una vulnerabilidad de seguridad. Estamos impulsando medidas para evitar que ocurran incidentes de este tipo nuevamente”.

3. ¿Qué se filtró?

Tamaño del código

El contenido de esta filtración abarcó aproximadamente 1900 archivos y más de 500k líneas de código. No son pesos del modelo, sino la implementación de toda la “capa de software” de Claude Code, es decir, la arquitectura central: incluyendo el marco de llamadas a herramientas, la orquestación de múltiples agentes, el sistema de permisos, el sistema de memoria, etc.

Hoja de ruta de funcionalidades no publicadas

Esta es la parte con mayor valor estratégico de la filtración.

Proceso autónomo de guardia KAIROS: este código de función al que se hace referencia más de 150 veces proviene del griego antiguo por “el momento oportuno”, y representa el cambio fundamental de Claude Code hacia un “Agente de backend siempre activo”. KAIROS incluye un proceso llamado autoDream, que ejecuta “integración de memoria” cuando el usuario está inactivo: fusiona observaciones fragmentadas, elimina contradicciones lógicas y convierte percepciones vagas en hechos deterministas. Cuando el usuario regresa, el contexto del Agente ya está limpio y altamente relevante.

Códigos internos del modelo y datos de rendimiento: el contenido filtrado confirma que Capybara es el código interno de una variante de Claude 4.6; Fennec corresponde a Opus 4.6; y el aún no publicado Numbat permanece en pruebas. Además, los comentarios del código revelan que Capybara v8 tiene una tasa de declaraciones falsas del 29-30%, frente al retroceso respecto a v4, que era del 16.7%.

Mecanismo de anti-destilación (Anti-Distillation): en el código existe una bandera de función llamada ANTI_DISTILLATION_CC. Al habilitarla, Claude Code inyecta definiciones falsas de herramientas en las solicitudes de API, con el objetivo de contaminar los datos de tráfico de API que los competidores podrían usar para entrenar modelos.

Lista de funcionalidades beta de la API: el archivo constants/betas.ts revela todas las funcionalidades beta de negociación de API que tiene Claude Code, incluyendo una ventana de contexto de 1 millón de tokens (context-1m-2025-08-07), modo AFK (afk-mode-2026-01-31), gestión de presupuestos de tareas (task-budgets-2026-03-13), y una serie de capacidades aún no divulgadas.

El sistema de compañeros virtuales tipo Pokémon incrustado: incluso hay escondida una suite completa de sistema de compañeros virtuales (Buddy), que incluye rareza de especies, variantes brillantes, atributos generados de forma procedimental y una “descripción del alma” redactada por Claude durante la incubación inicial. El tipo de compañero se decide mediante un generador determinista de números pseudoaleatorios basado en el hash del ID del usuario; el mismo usuario obtiene siempre el mismo compañero.

4. Ataques concurrentes a la cadena de suministro

Este incidente no ocurrió de manera aislada. En la misma ventana temporal en la que se filtró el código fuente, el paquete axios en npm fue objeto de un ataque independiente a la cadena de suministro.

Entre las 00:21 y las 03:29 UTC del 31 de marzo de 2026, si se instalaba o actualizaba Claude Code mediante npm, se podría haber introducido sin querer una versión maliciosa que contenía un troyano de acceso remoto (RAT) (axios 1.14.1 o 0.30.4).

Anthropic recomendó a los desarrolladores afectados que consideraran el host como completamente comprometido, rotaran todas las claves y reinstalaran el sistema operativo.

La superposición temporal de estos dos casos volvió la situación aún más confusa y peligrosa.

5. Impacto en la industria

Daño directo a Anthropic

Para una empresa con ingresos anuales de 19,000 millones de dólares y en pleno periodo de crecimiento acelerado, esta filtración no es solo una negligencia de seguridad: es una pérdida de propiedad intelectual estratégica.

Al menos parte de las capacidades de Claude Code no proviene del modelo de lenguaje grande subyacente en sí, sino del “marco” de software construido alrededor del modelo: guía cómo el modelo utiliza herramientas y ofrece salvaguardas e instrucciones importantes para normalizar el comportamiento del modelo.

Estas salvaguardas e instrucciones ahora son claramente visibles para los competidores.

Advertencia para todo el ecosistema de herramientas de AI Agent

Esta filtración no hundirá a Anthropic, pero ofrece a todos los competidores un manual de ingeniería gratuito: cómo construir agentes de programación con IA a nivel de producción, y qué direcciones de herramientas merecen inversión prioritaria.

El verdadero valor de lo filtrado no está en el código en sí, sino en la hoja de ruta del producto que revelan las banderas de funcionalidades. KAIROS, el mecanismo anti-destilación: son detalles estratégicos que los competidores ahora pueden anticipar y responder de inmediato. El código puede reestructurarse; pero si la sorpresa estratégica se filtra, no se puede recuperar.

6. Revelaciones profundas para la codificación de Agentes

Esta filtración es como un espejo, que refleja varias premisas centrales de la ingeniería actual de AI Agent:

1. Los límites de capacidad de un Agente, en gran medida, los determina la “capa de marco” y no el modelo en sí

La exposición de 500k líneas de código de Claude Code revela un hecho relevante para toda la industria: con el mismo modelo subyacente, el uso de distintos marcos de orquestación de herramientas, mecanismos de gestión de memoria y sistemas de permisos produce capacidades de Agente completamente diferentes. Esto significa que “quién tiene el modelo más potente” ya no es el único eje competitivo; “quién tiene una ingeniería de marco más sofisticada” también es crucial.

2. La autonomía a largo plazo es el próximo campo de batalla central

La existencia del proceso guardián KAIROS indica que la competencia de la industria en el siguiente paso se centrará en “hacer que el Agente siga funcionando de manera efectiva sin supervisión humana”. La integración de memoria en segundo plano, la transferencia de conocimiento entre sesiones y el razonamiento autónomo durante el tiempo de inactividad: cuando estas capacidades maduren, cambiarán por completo el modo básico de colaboración entre Agentes y humanos.

3. La anti-destilación y la protección de propiedad intelectual se convertirán en una nueva asignatura base de la ingeniería de IA

Anthropic implementó un mecanismo anti-destilación a nivel de código, lo que anticipa que se está formando un nuevo campo de ingeniería: cómo evitar que los sistemas de IA propios se usen para captación de datos de entrenamiento por parte de competidores. Esto no solo es un problema técnico, sino que evolucionará a un nuevo campo de batalla de estrategia legal y comercial.

4. La seguridad de la cadena de suministro es el talón de Aquiles de las herramientas de IA

Cuando las herramientas de programación con IA se distribuyen mediante gestores públicos de software como npm, enfrentan riesgos de ataques a la cadena de suministro igual que cualquier otro software de código abierto. Y la particularidad de las herramientas de IA es que, una vez que se inserta un backdoor, el atacante no obtiene solo el permiso de ejecución de código, sino una intrusión profunda en todo el flujo de trabajo de desarrollo.

5. Cuanto más complejo el sistema, más se necesita la automatización de la “guardia” de publicación

“Un .npmignore mal configurado o el campo files en package.json pueden exponerlo todo”. Para cualquier equipo que construya un producto de AI Agent, esta lección no requiere pagar un costo tan alto para aprenderse: la revisión automatizada del contenido publicado debería integrarse en el pipeline CI/CD como práctica estándar, en lugar de una medida de rescate después de que “ya se perdió la oveja”.

Epílogo

Hoy es 1 de abril de 2026, Día de los Inocentes. Pero esto no es una broma.

Anthropic cometió el mismo error dos veces en 13 meses. El código fuente ya se replicó en todo el mundo; las solicitudes de borrado DMCA no alcanzan la velocidad de los forks. Esa hoja de ruta de producto que debería haberse mantenido oculta en una red interna, ahora es material de referencia para todos.

Para Anthropic, esta es una lección dolorosa.

Para toda la industria, es un momento inesperadamente transparente: nos permite ver cómo se construyen, línea por línea, los agentes de programación con IA más avanzados de hoy.