Anthropic publicó accidentalmente el código fuente completo de su CLI Claude Code dentro de un paquete público de npm, dejando al descubierto unas 512 000 líneas de Typescript ante cualquiera que prestara atención.
Fuga del código fuente de Anthropic en 2026: el código de Claude CLI queda al descubierto debido a un error en el mapa de origen de npm
ESCRITO POR
COMPARTIR
La filtración de Claude Code en npm revela funciones aún no lanzadas, entre las que se incluyen KAIROS, BUDDY y Agent Swarms
La empresa confirmó el incidente el 31 de marzo de 2026, en declaraciones a Venture Beat, atribuyéndolo a un error humano en el proceso de empaquetado del lanzamiento. La versión 2.1.88 de @anthropic-ai/claude-code se distribuyó con un archivo de mapa de código fuente de JavaScript de 59,8 MB. Básicamente, se trataba de un artefacto de depuración que mapeaba el código de producción minificado de vuelta al Typescript original, lo que apuntaba directamente a un archivo zip de acceso público ubicado en el propio bucket de almacenamiento Cloudflare R2 de Anthropic. Nadie tuvo que hackear nada. El archivo simplemente estaba ahí.
El investigador de seguridad Chaofan Shou, becario en la empresa de seguridad de blockchain Fuzzland, detectó el problema y publicó el enlace directo al bucket en X. En cuestión de horas, aparecieron repositorios duplicados en GitHub, algunos de los cuales acumularon decenas de miles de estrellas antes de que Anthropic solicitara su retirada en virtud de la DMCA. Los miembros de la comunidad ya habían comenzado a extraer datos de telemetría, activar indicadores de funciones ocultas y redactar reimplementaciones en Python y Rust en un entorno aislado para eludir las preocupaciones sobre los derechos de autor. La causa principal era sencilla: el empaquetador de Bun genera mapas de origen de forma predeterminada, y ningún paso de compilación excluyó o desactivó el artefacto de depuración antes de la publicación. Una entrada que faltara en .npmignore o en el campo files de package.json habría evitado todo esto.
Lo que los desarrolladores encontraron en su interior era muy detallado. Los aproximadamente 1900 archivos de TypeScript abarcaban la lógica de ejecución de las herramientas, los esquemas de permisos, los sistemas de memoria, la telemetría, las indicaciones del sistema y los indicadores de funciones: una visión completa desde el punto de vista de la ingeniería de cómo Anthropic construye una herramienta de codificación agentiva lista para producción. La telemetría analiza las indicaciones en busca de lenguaje soez como señal de frustración, pero no registra las conversaciones completas de los usuarios ni el código. Un «modo encubierto» indica a la IA que elimine las referencias a nombres en clave internos y detalles del proyecto de las confirmaciones de git y las solicitudes de extracción. Varias funciones aún no lanzadas se ocultaban tras indicadores. KAIROS se describe como un demonio de fondo siempre activo que supervisa archivos, registra eventos y ejecuta un proceso de consolidación de memoria «onírico» durante el tiempo de inactividad. BUDDY es una mascota de terminal con 18 especies —incluido el capibara— que lleva estadísticas como DEBUGGING, PATIENCE y CHAOS. El MODO COORDINADOR permite que un único agente genere y gestione agentes de trabajo en paralelo. ULTRAPLAN programa sesiones de planificación remota con múltiples agentes de entre 10 y 30 minutos.
Anthropic declaró a Venture Beat que el incidente no afectó a datos confidenciales de clientes, ni a credenciales, ni comprometió los pesos de los modelos o la infraestructura de inferencia. «Se trató de un problema de empaquetado de la versión causado por un error humano», afirmó la empresa, añadiendo que está implementando medidas para evitar que se repita.
Es posible que esas medidas deban aplicarse con rapidez. Esta es la segunda vez que se produce el mismo error. En febrero de 2025 se produjo una filtración de mapas de origen casi idéntica con una versión anterior de Claude Code.
El incidente del 31 de marzo coincidió además con un ataque independiente a la cadena de suministro de npm contra el paquete axios, activo entre las 00:21 y las 03:29 UTC. Se recomienda a los desarrolladores que instalaron o actualizaron Claude Code a través de npm durante ese intervalo que revisen sus dependencias y cambien sus credenciales. Anthropic recomienda utilizar su instalador nativo en lugar de npm en el futuro.
El contexto es importante en este caso. Cinco días antes, el 26 de marzo, una configuración errónea del CMS en Anthropic expuso aproximadamente 3000 archivos internos que contenían detalles sobre el modelo «Claude Mythos», aún sin publicar, lo que también se atribuyó a un error humano. Dos revelaciones accidentales significativas en menos de una semana plantean dudas sobre la higiene de las publicaciones en una empresa cuyas herramientas se utilizan activamente para escribir y distribuir código a gran escala.
Un juez federal impide que el Pentágono califique a Anthropic como una amenaza para la seguridad nacional
Un juez federal ha suspendido la prohibición del Pentágono sobre la IA de Anthropic, al considerar que la calificación de «amenaza para la seguridad nacional» probablemente infringía la Primera Enmienda. read more.
Leer ahora
Un juez federal impide que el Pentágono califique a Anthropic como una amenaza para la seguridad nacional
Un juez federal ha suspendido la prohibición del Pentágono sobre la IA de Anthropic, al considerar que la calificación de «amenaza para la seguridad nacional» probablemente infringía la Primera Enmienda. read more.
Leer ahoraUn juez federal impide que el Pentágono califique a Anthropic como una amenaza para la seguridad nacional
Leer ahoraUn juez federal ha suspendido la prohibición del Pentágono sobre la IA de Anthropic, al considerar que la calificación de «amenaza para la seguridad nacional» probablemente infringía la Primera Enmienda. read more.
El código fuente filtrado sigue estando disponible en forma archivada y duplicada a pesar de las medidas activas para su retirada. Anthropic no ha publicado un análisis posterior más amplio ni una declaración pública más allá de su comentario a Venture Beat. No se han expuesto datos de usuarios. Los modelos principales de Claude no se han visto afectados. Sin embargo, el plan para crear un competidor de Claude Code es ahora considerablemente más fácil de llevar a cabo.
Preguntas frecuentes 🔎
- P: ¿La filtración del código fuente de Claude Code fue un hackeo? No: Anthropic confirmó que la exposición se debió a un error de empaquetado, no a una brecha de seguridad ni a un acceso no autorizado.
- P: ¿Qué se filtró realmente en la fuga de Anthropic en npm? Aproximadamente 512 000 líneas de TypeScript que abarcan la CLI de Claude Code, incluyendo telemetría, indicadores de funciones, funciones ocultas y arquitectura de agentes —no pesos de modelos ni datos de clientes.
- P: ¿Están mis datos en peligro por el incidente de Claude Code en npm? Anthropic afirma que no se expusieron datos ni credenciales de los usuarios; los desarrolladores que lo instalaron a través de npm durante la ventana de ataque a la cadena de suministro de axios que se produjo al mismo tiempo deberían auditar las dependencias y rotar las credenciales.
- P: ¿Se ha filtrado el código fuente de Anthropic anteriormente? Sí: en febrero de 2025 se produjo una filtración de mapas de origen casi idéntica relacionada con una versión anterior de Claude Code, lo que convierte a este en el segundo incidente de este tipo en aproximadamente 13 meses.
