Anthropic confirmó el martes que el código interno de su popular asistente de
programación con inteligencia artificial (IA), Claude Code, se
había filtrado inadvertidamente debido a un error humano. La filtración de Claude Code 2.1.88 expuso 512.000 líneas de código «debido a un error de npm», lo que aumentó los riesgos en la cadena de suministro y los ataques
de typosquatting.
«No se vieron afectados ni expuestos datos ni credenciales confidenciales
de clientes»,
declaró
un portavoz de Anthropic en un comunicado compartido con CNBC News.
«Se trató de un problema de empaquetado de la versión causado por un error
humano, no de una brecha de seguridad. Estamos implementando medidas para
evitar que esto vuelva a suceder».
El descubrimiento se produjo después de que la emergente empresa de IA lanzara
la versión 2.1.88 del paquete npm Claude Code. Los usuarios detectaron
que contenía un archivo de mapa de origen que permitía acceder al código
fuente de Claude Code, compuesto por casi 2.000 archivos TypeScript y más de
512.000 líneas de código. Esta versión ya no está disponible para su descarga
en npm.
El investigador de seguridad Chaofan Shou fue el primero en denunciarlo
públicamente en X, afirmando:
«¡El código fuente de Claude Code se ha filtrado a través de un archivo de
mapa en su registro npm!». La publicación en X ha acumulado desde entonces más de 28,8 millones de
visitas. El código filtrado sigue estando disponible en un repositorio público
de GitHub, donde ha superado las 84.000 estrellas y las 82.000 bifurcaciones.
Una filtración de código fuente de este tipo es significativa, ya que
proporciona a los desarrolladores de software y a la competencia de Anthropic
un modelo del funcionamiento de esta popular herramienta de programación. Los
usuarios que han analizado el código han publicado detalles de su arquitectura
de memoria autorreparable para superar las limitaciones de la ventana de
contexto fija del modelo, así como otros componentes internos.
Estos incluyen un sistema de herramientas para facilitar diversas
funcionalidades, como la lectura de archivos o la ejecución de bash; un
motor de consultas para gestionar las llamadas a la API de LLM y su
orquestación; orquestación multiagente para generar subagentes o enjambres que
realicen tareas complejas; y una capa de comunicación bidireccional que
conecta las extensiones del IDE con la CLI de Claude Code.
La filtración también ha revelado una función llamada KAIROS que permite a
Claude Code operar como un agente persistente en segundo plano, capaz de
corregir errores periódicamente o ejecutar tareas de forma autónoma sin
necesidad de intervención humana, e incluso enviar notificaciones push a los
usuarios. Complementando este modo proactivo, se ha creado un nuevo modo
«sueño» que permitirá a Claude pensar constantemente en segundo plano para
desarrollar ideas e iterar las existentes.
Quizás el detalle más intrigante sea el «Modo Encubierto» de la herramienta
para realizar contribuciones «ocultas» a repositorios de código abierto.
«Estás operando de forma encubierta en un repositorio PÚBLICO/DE CÓDIGO
ABIERTO. Tus mensajes de confirmación, títulos y cuerpos de solicitudes de
extracción NO DEBEN contener información interna de Anthropic. No reveles tu
identidad», indica el sistema.
Otro hallazgo fascinante se refiere a los intentos de Anthropic por combatir
encubiertamente los ataques de destilación de modelos. El sistema cuenta con
controles que inyectan definiciones de herramientas falsas en las solicitudes
de API para envenenar los datos de entrenamiento si los competidores intentan
extraer los resultados de Claude Code.
Paquetes npm con errores tipográficos publicados en el registro.
Ahora que se han revelado los detalles internos de Claude Code, los riesgos de
desarrollo proporcionan a los ciberdelincuentes herramientas para eludir las
medidas de seguridad y engañar al sistema para que realice acciones no
deseadas, como ejecutar comandos maliciosos o extraer datos.
En lugar de realizar ataques de fuerza bruta para desbloquear sistemas y
realizar inyecciones rápidas, los atacantes ahora pueden estudiar y analizar
con precisión cómo fluyen los datos a través del sistema de gestión de
contexto de cuatro etapas de Claude Code y crear cargas útiles diseñadas para
sobrevivir a la compactación, lo que permite mantener una puerta trasera
durante una sesión de duración arbitraria,
según la empresa de seguridad de IA Straiker.
La preocupación más acuciante reside en las consecuencias del
ataque a la cadena de suministro de Axios, ya que los usuarios que instalaron o actualizaron Claude Code mediante npm
el 31 de marzo de 2026, entre las 00:21 y las 03:29 UTC, podrían haber
descargado una versión troyanizada del cliente HTTP que contiene un troyano de
acceso remoto multiplataforma. Se recomienda a los usuarios que actualicen
inmediatamente a una versión segura y roten todas sus claves secretas.
Además, los atacantes ya están aprovechando la filtración para suplantar
nombres de paquetes internos de npm con errores tipográficos, con el
objetivo de atacar a quienes intenten compilar el código fuente filtrado de
Claude Code y llevar a cabo ataques de confusión de dependencias. Los nombres
de los paquetes, todos publicados por un usuario llamado «pacifier136»,
se enumeran a continuación:
- audio-capture-napi
- color-diff-napi
- image-processor-napi
- modifiers-napi
- url-handler-napi
Este incidente representa el segundo gran error de Anthropic en una semana. La
semana pasada, se dejaron accesibles detalles sobre el próximo modelo de IA de
la compañía, junto con otros datos internos, a través de su sistema de gestión
de contenido (CMS). Posteriormente,
Anthropic reconoció
que había estado probando el modelo con clientes de acceso anticipado,
afirmando que es
«el más potente que hemos desarrollado hasta la fecha».
Lo que sucedió y sus curiosidades
- Anthropic lanzó una actualización de software para Claude Code a las 4 de la mañana. En esa actualización se incluyó accidentalmente un archivo de depuración en su interior. Ese archivo contenía 512.000 líneas de su código fuente propietario.
- Un investigador llamado Chaofan Shou lo descubrió en cuestión de minutos y publicó el enlace de descarga en X. Enseguida hubo 21 millones de personas han visto el hilo.
- Todo el código fuente fue descargado, copiado y replicado en GitHub antes incluso de que el equipo de Anthropic se hubiera despertado.
- Anthropic retiró el paquete y comenzó a enviar solicitudes de eliminación por infracción de derechos de autor (DMCA) a todos los repositorios que lo alojaban.
- Fue entonces cuando una desarrolladora coreana llamada Sigrid Jin se despertó a las 4 de la mañana con su teléfono lleno de notificaciones.
- Es el usuario más activo de Claude Code en el mundo, y el Wall Street Journal informó que utilizó personalmente 25 mil millones de tokens el año pasado.
- Su novia estaba preocupada de que lo demandaran solo por tener el código en su computadora; así que hizo lo que cualquier ingeniero haría: reescribió todo el código en Python desde cero antes del amanecer.
- Lo llamó claw-code y lo subió a GitHub. Una reescritura en Python es una nueva obra creativa. La DMCA no puede afectarla.
- El repositorio alcanzó las 30.000 estrellas más rápido que cualquier otro repositorio en la historia de GitHub.
- No quedó satisfecha y empezó a reescribirlo de nuevo en Rust. Ahora tiene 49.000 estrellas.
- Alguien más replicó el original en una plataforma descentralizada con un mensaje: «nunca será tirado abajo.»
- El código reescrito ahora es derecho permanente de otros. Anthropic no puede recuperarlo.
- Anthropic creó un sistema llamado Modo Encubierto específicamente para evitar que Claude filtrara secretos internos. Luego, ellos mismos filtraron su propio código fuente.