#ClaudeCode500KCodeLeak

1 de abril de 2026, Anthropic, la empresa de seguridad en IA detrás de la familia de modelos Claude, accidentalmente expuso el código fuente casi completo de su producto principal para desarrolladores, Claude Code. El incidente no fue resultado de un ciberataque, un insider malicioso o una brecha sofisticada. Fue un error de empaquetado. Un solo archivo mal colocado enviado a un registro público, y en pocas horas, el mundo de la IA estaba revisando medio millón de líneas de código propietario.

Cómo ocurrió

Cuando Anthropic publicó la versión 2.1.88 del paquete @anthropic-ai/claude-code en el registro público de npm, el proceso de construcción inadvertidamente incluyó un archivo de mapa de código fuente JavaScript de 59.8 megabytes, específicamente cli.js.map, junto con el resto del paquete. Los archivos de mapa de código fuente son artefactos de depuración. Existen para vincular el código empaquetado, minificado o compilado con el código fuente original legible por humanos. Son herramientas estrictamente internas y nunca deben enviarse a los usuarios finales ni aparecer en registros públicos de paquetes.

El problema es que este archivo de mapa de código fuente en particular no apuntaba a código ofuscado o compilado — hacía referencia a archivos fuente de TypeScript sin ofuscar. Cualquier persona que descargara el paquete npm y supiera cómo trabajar con mapas de código podría reconstruir la base de código original de TypeScript en una forma legible y completamente navegable. Eso fue exactamente lo que ocurrió.

Un investigador de seguridad afiliado a Solayer Labs, que publicó bajo el alias @Fried_rice en X, fue presuntamente el primero en identificar y desempaquetar la exposición. En un corto período, apareció un repositorio en GitHub que contenía lo que se presentó como la fuente reconstruida — unas 512,000 líneas de código TypeScript distribuidas en aproximadamente 1,900 archivos. El repositorio fue bifurcado rápidamente antes de que Anthropic pudiera responder.

Qué contenía realmente

La filtración no expuso los pesos del modelo subyacente de Claude, datos de entrenamiento ni credenciales de clientes. Anthropic confirmó esto directamente. Pero lo que sí expuso fue, quizás, lo más sensible a continuación: una vista detallada de cómo estaba arquitecturado Claude Code, cómo procesa la intención del usuario, cómo se comunica con los modelos y qué se estaba construyendo tras bambalinas.

Varios hallazgos circularon rápidamente entre desarrolladores e investigadores analizando el código.

Se encontraron referencias a modelos no lanzados en toda la base de código. Aparecieron los nombres Opus 4.7 y Sonnet 4.8, así como nombres en clave internos Capybara y Mythos — este último ya había sido parcialmente revelado días antes a través de un incidente separado en el que publicaciones de blog y documentación no publicadas quedaron accesibles inadvertidamente en una caché de datos pública. Los nombres Mythos y Capybara parecían referirse al mismo modelo próximo, y el código filtrado proporcionó mayor confirmación de que el lanzamiento estaba siendo activamente preparado.

Se descubrió una función descrita internamente como ultraplan. Parece ser un modo asincrónico de múltiples agentes diseñado para sesiones de investigación más largas, con ventanas de finalización estimadas entre diez y treinta minutos. La implicación es que Claude Code estaba siendo construido para coordinar múltiples instancias de agentes en tareas extendidas, una capacidad arquitectónica significativa que no había sido divulgada públicamente.

También había referencias a algo llamado Kairos, descrito en el código como un agente proactivo siempre activo, un proceso en segundo plano que podría iniciar acciones sin una solicitud explícita del usuario. Además, una función llamada autoDream parecía ser un sistema de consolidación de memoria, probablemente destinado a ayudar al agente a retener contexto o resumir automáticamente el historial de sesiones.

Quizá el descubrimiento más inesperado fue algo internamente llamado el Buddy System, que parecía modelar una forma de comportamiento de compañero de IA, con atributos que rastreaban niveles de caos y sarcasmo. Si esto era una característica de producto seria o un experimento interno, no está claro, pero llamó mucho la atención en línea.

En cuanto a seguridad y telemetría, el código reveló que Claude Code registra expresiones específicas del usuario, incluyendo frases profanas como wtf y ffs, y las marca como is_negative en su pipeline analítico. Más estructuralmente importante fue el hallazgo de que las barreras de ciberseguridad de Claude Code están implementadas como cadenas de texto en prompts en lugar de lógica codificada, lo que significa que en principio son reemplazables o modificables sin cambios profundos en el sistema. La base de código también contenía más de 44 banderas de funciones, la mayoría ocultas de la documentación pública.

El código también mostró que más de 120 nombres de herramientas de desarrollador estaban codificados para un tratamiento especial dentro del producto, sugiriendo que Claude Code había sido ajustado deliberadamente para reconocer e interactuar de manera diferente con integraciones específicas.

Respuesta de la comunidad y bifurcaciones

La comunidad de desarrolladores actuó rápidamente. En horas de que el repositorio se hiciera público, surgieron múltiples proyectos derivados.

Una bifurcación, llamada OpenCode, fue diseñada para eliminar las dependencias específicas del modelo Claude y reemplazarlas con un backend modular capaz de enrutar solicitudes a cualquier modelo de lenguaje grande, incluyendo GPT, Llama y otros. La intención era usar los patrones arquitectónicos de Claude Code mientras se hacía el sistema independiente del modelo.

Otra bifurcación, llamada free-code, fue aún más allá. Eliminó la telemetría, desactivó las capas de seguridad y habilitó funciones experimentales. Para evitar eliminaciones por DMCA, se distribuyó vía IPFS en lugar de alguna plataforma de hospedaje centralizada.

Ambas bifurcaciones plantearon preguntas legales inmediatas. El código es propiedad intelectual propietaria. La redistribución y el uso derivado sin licencia constituyen infracción de derechos de autor en la mayoría de las jurisdicciones. Algunos miembros de la comunidad señalaron que incluso analizar el código en detalle podría implicar riesgos legales dependiendo de las circunstancias. A pesar de esto, el código continuó difundiendo rápidamente.

Contexto y incidentes previos

El momento no pudo haber sido peor para Anthropic. Solo días antes del incidente del mapa de código fuente, la compañía sufrió otra exposición cuando documentación no publicada y publicaciones de blog sobre el modelo Mythos quedaron accesibles inadvertidamente en una caché de datos pública. Ese incidente fue embarazoso. Este fue mucho más dañino en términos de propiedad intelectual.

Anthropic opera actualmente con una tasa de ingresos anualizada reportada de 19 mil millones de dólares a principios de 2026, y se ha citado que Claude Code genera aproximadamente 2.5 mil millones de dólares en ingresos recurrentes anuales, cifra que supuestamente se duplicó en los primeros meses del año. El producto es central para la trayectoria comercial de la compañía.

La ironía, señalada por varios comentaristas, es que el propio jefe de Claude Code de Anthropic había declarado públicamente a finales de 2025 que el 100% de sus contribuciones recientes al producto habían sido escritas por Claude Code. La comunidad sugirió que el error de empaquetado que incluyó el archivo del mapa de código puede haber sido resultado de procesos de construcción automatizados que operaron sin revisión humana suficiente — en otras palabras, un producto parcialmente moldeado por IA podría haber sido deshecho por la misma automatización. Esto es especulativo y no confirmado, pero la narrativa caló hondo.

Una revisión de código asistida por IA del código filtrado, supuestamente realizada con GPT-5.4 y un modelo Claude de alto nivel, arrojó una puntuación de 6.5 sobre 10, con la caracterización de algo similar a un espagueti optimizado bajo presión y parches iterativos en lugar de un diseño de base limpio.
Respuesta de Anthropic

Un portavoz de Anthropic confirmó el incidente con una breve declaración: hoy temprano, una versión de Claude Code incluía algo de código fuente interno. La compañía afirmó que no se involucraron ni expusieron datos o credenciales de clientes. La versión comprometida del paquete npm fue retirada rápidamente. Cuando se le preguntó si la compañía planeaba emprender acciones legales contra quienes publicaron o bifurcaron los repositorios expuestos, Anthropic declinó comentar más allá de su declaración inicial.

A principios de abril de 2026, las notas de lanzamiento públicas aún mostraban la versión 2.1.88 como la más reciente de Claude Code, y el camino de distribución en npm se listaba en la documentación como una vía de compatibilidad en desuso, sugiriendo que la compañía ya estaba en proceso de migrar a otros mecanismos de distribución.

Implicaciones más amplias

Este incidente se sitúa en la intersección de varias conversaciones en curso en la industria de la IA.

Primero, destaca los riesgos de distribuir herramientas de desarrollo de IA a través de registros públicos de paquetes sin pipelines de construcción robustos. El ecosistema npm en particular tiene una larga historia de exposiciones accidentales, pero la escala y sensibilidad de esta filtración son inusuales.

En segundo lugar, plantea preguntas sobre cómo las empresas de IA equilibran velocidad con seguridad. Claude Code había estado creciendo a una velocidad excepcional, y esa velocidad parece haber contribuido a un proceso de construcción que no detectó un artefacto de depuración incluido en una versión pública.

En tercer lugar, la presencia de funciones ocultas, cadenas de seguridad reemplazables y telemetría extensa en el código filtrado probablemente intensificará el escrutinio sobre cómo las herramientas de codificación de IA manejan los datos del usuario y cómo se implementan realmente las medidas de seguridad a nivel de ingeniería en lugar de políticas.

Cuarto, la aparición de bifurcaciones diseñadas para eliminar telemetría y capas de seguridad — incluso si son cuestionables legalmente — demuestra que una vez que las herramientas de IA propietarias se exponen a este nivel, la capacidad práctica de controlar su uso posterior disminuye rápidamente.

Para los competidores, la filtración ofrece una visión rara y detallada de uno de los productos de codificación de IA más exitosos comercialmente jamás construidos. Para Anthropic, el trabajo ahora implica no solo parchear un proceso de construcción, sino evaluar qué ventaja estratégica ha sido transferida permanentemente al dominio público.