Fuga del código fuente de Anthropic 2026: exposición del CLI de Claude Code a través de un error en el mapa de origen de npm

Anthropic envió accidentalmente el código fuente completo de su CLI Claude Code dentro de un paquete público de npm, exponiendo aproximadamente 512.000 líneas de Typescript a cualquiera que prestara atención.

El filtrado de npm de Claude Code revela funciones no lanzadas, incluyendo KAIROS, BUDDY y enjambres de agentes

La empresa confirmó el incidente el 31 de marzo de 2026, hablando con Venture Beat, y lo atribuyó a un error humano en el proceso de empaquetado del lanzamiento. La versión 2.1.88 de @anthropic-ai/claude-code se envió con un archivo de mapa de origen (source map) de 59,8 MB para Javascript. Básicamente un artefacto de depuración que mapeaba el código de producción minificado de vuelta al Typescript original, lo que apuntaba directamente a un archivo zip accesible públicamente alojado en el propio bucket de almacenamiento Cloudflare R2 de Anthropic.

No hizo falta hackear nada. El archivo simplemente estaba ahí.

La investigadora de seguridad Chaofan Shou, una interna en la firma de seguridad blockchain Fuzzland, detectó el problema y publicó el enlace directo del bucket en X. En pocas horas, aparecieron repositorios espejo en Github, algunos acumulando decenas de miles de estrellas antes de que los takedowns por DMCA de Anthropic tuvieran efecto. Los miembros de la comunidad ya habían comenzado a eliminar telemetría, cambiar banderas de funciones ocultas y redactar reimplementaciones de sala limpia en Python y Rust para eludir preocupaciones de copyright.

La causa raíz fue sencilla: el bundler de Bun genera source maps por defecto, y ningún paso de compilación excluyó o deshabilitó el artefacto de depuración antes de publicar. Un faltante en .npmignore o el campo files en package.json habría evitado todo.

Lo que los desarrolladores encontraron estaba detallado. Los ~1.900 archivos de Typescript cubrían la lógica de ejecución de herramientas, esquemas de permisos, sistemas de memoria, telemetría, prompts del sistema y banderas de funciones: una visión completa de ingeniería de cómo Anthropic construye una herramienta de codificación agentica de nivel de producción. La telemetría escanea prompts en busca de blasfemias como señal de frustración pero no registra conversaciones completas de usuarios ni código. Un “modo encubierto” instruye a la IA a eliminar referencias a nombres en clave internos y detalles del proyecto de los commits de git y de las solicitudes de extracción (pull requests).

Varias funciones no lanzadas estaban tras banderas. KAIROS se describe como un demonio en segundo plano siempre activo que vigila archivos, registra eventos y ejecuta un proceso de consolidación de memoria “ensoñadora” durante el tiempo de inactividad. BUDDY es una mascota de terminal con 18 especies —incluida capybara— llevando estadísticas como DEBUGGING, PATIENCE y CHAOS. EL MODO COORDINATOR permite que un único agente genere y gestione agentes trabajadores paralelos. ULTRAPLAN programa sesiones de planificación remota con múltiples agentes de 10 a 30 minutos.

Anthropic le dijo a Venture Beat que el incidente no implicó datos sensibles de clientes, credenciales ni una alteración de los pesos del modelo o de la infraestructura de inferencia. “Esto fue un problema de empaquetado del lanzamiento causado por un error humano”, dijo la empresa, añadiendo que está implementando medidas para evitar que se repita.

Esas medidas podrían necesitar avanzar rápido. Esta es la segunda vez que ha ocurrido el mismo error. Se produjo un filtrado de source-map casi idéntico con una versión anterior de Claude Code en febrero de 2025.

El incidente del 31 de marzo también se dio junto con un ataque separado en la cadena de suministro de npm contra el paquete axios, activo entre 00:21 y 03:29 UTC. A los desarrolladores que instalaron o actualizaron Claude Code vía npm durante esa ventana se les recomienda auditar sus dependencias y rotar credenciales. Anthropic recomienda su instalador nativo en lugar de npm a partir de ahora.

El contexto importa aquí. Cinco días antes, el 26 de marzo, una mala configuración en un CMS en Anthropic expuso aproximadamente 3.000 archivos internos que cubrían detalles sobre el modelo no lanzado “Claude Mythos”, también atribuido a un error humano. Dos divulgaciones accidentales importantes en menos de una semana plantean preguntas sobre la higiene de los lanzamientos en una empresa cuyas herramientas se usan activamente para escribir y entregar código a escala.

El código fuente filtrado permanece disponible en formas archivadas y espejadas a pesar de la aplicación activa de takedown. Anthropic no ha publicado un post-mortem más amplio ni una declaración pública más allá de su comentario a Venture Beat.

No se expusieron datos de usuarios. Los modelos base de Claude no se ven afectados. Sin embargo, el plano para construir un competidor de Claude Code ahora es considerablemente más fácil de ensamblar.

Preguntas frecuentes FAQ 🔎

• P: ¿El filtrado del código fuente de Claude Code fue un hack? No — Anthropic confirmó que la exposición fue un error de empaquetado, no una brecha de seguridad ni un acceso no autorizado.
• P: ¿Qué se expuso realmente en el filtrado de npm de Anthropic? Aproximadamente 512.000 líneas de TypeScript que cubren la CLI de Claude Code, incluyendo telemetría, banderas de funciones, funciones ocultas y arquitectura de agentes — no pesos de modelo ni datos de clientes.
• P: ¿Está en riesgo mi datos por el incidente de npm de Claude Code? Anthropic dice que no se expusieron datos de usuarios ni credenciales; los desarrolladores que instalaron vía npm durante la ventana concurrente del ataque a la cadena de suministro de axios deberían auditar dependencias y rotar credenciales.
• P: ¿Anthropic ha filtrado código fuente antes? Sí — ocurrió un filtrado de source-map casi idéntico que involucró una versión anterior de Claude Code en febrero de 2025, convirtiéndolo en el segundo incidente de este tipo en aproximadamente 13 meses.