뒤로
Anthropic filtró 512 mil líneas de código de Claude Code
March 31, 2026
7 분 읽기
이 글 공유하기

Anthropic filtró 512 mil líneas de código de Claude Code

Un mapa de código filtrado expuso un bucket de Anthropic en R2 y 512,000 líneas de Claude Code, revelando cuatro funciones no lanzadas, incluyendo el monitoreo KAIROS y el motor Dream.

Resumen

Un archivo de mapa de código fuente incluido accidentalmente en el paquete npm de Claude Code le dio a cualquier desarrollador con la URL correcta acceso directo al depósito de almacenamiento privado R2 de Anthropic, y a todo el árbol de código fuente en TypeScript sin ofuscar que había dentro. La exposición: 1,900 archivos, más de 512,000 líneas de código. La historia más profunda: cuatro funciones internas que nunca se habían anunciado públicamente, incluyendo un modo de monitoreo de actividad continuo y un sistema de consolidación de memoria en segundo plano que Anthropic llama el motor Dream.

Qué Pasó

Cuando los desarrolladores compilan JavaScript o TypeScript para producción, los empaquetadores como Bun generan archivos de mapa de código fuente (.map) para facilitar la depuración. Estos archivos hacen referencia al código fuente original, sin minificar. A menos que se excluyan explícitamente del paquete publicado, esas referencias se hacen públicas cuando el paquete se publica.

El equipo de ingeniería de Anthropic construyó Claude Code con Bun, y la compilación de producción incluía un archivo .map que apuntaba a una URL en el almacenamiento en la nube R2 de Anthropic. Esa URL no tenía control de acceso. El investigador de seguridad Chaofan Shou (@shoucccc), de la firma Web3 FuzzLand, descubrió la referencia el 31 de marzo de 2026, obtuvo la URL y recuperó el árbol de código fuente completo.

La solución necesaria para evitar esto: una sola línea en .npmignore, o deshabilitar la generación de mapas de código fuente antes de empaquetar. No se hizo ninguna de las dos cosas.

En Números

DetalleCifra
Líneas de TypeScript expuestas512,000+
Archivos fuente en la filtración1,900
Funciones no anunciadas previamente4
Declaraciones públicas de Anthropic0

Cuatro Funciones No Publicadas Encontradas en el Código

Modo KAIROS

Interno — no lanzado a los usuarios

Un modo en segundo plano siempre activo que monitorea y registra la actividad del usuario de forma continua. El código muestra que puede enviar notificaciones push y suscribirse a eventos de pull request, lo que sugiere que está diseñado para interrumpir a un usuario cuando Claude detecta el momento oportuno para intervenir. El nombre proviene del concepto griego de "kairos": el momento oportuno. Sin anuncio previo, sin documentación pública.

ULTRAPLAN

No publicado — infraestructura de tiempo de ejecución en la nube visible en el código

Un sistema de planificación remota que enruta el razonamiento complejo de múltiples pasos a un Cloud Container Runtime (CCR) que ejecuta el modelo Opus 4.6 de Anthropic. Las sesiones pueden ejecutarse de forma asíncrona durante hasta 30 minutos, muy por encima de una ventana de contexto estándar. El propósito queda claramente indicado en los comentarios del código: las tareas demasiado complejas para una sola sesión interactiva se delegan y se completan en segundo plano.

El Sistema Buddy

Código completo — no anunciado públicamente

Un sistema de gamificación dentro del producto, construido alrededor de una mascota compañera con 18 especies (incluyendo criaturas llamadas "Cosmoshale" y "Nebulynx"). El sistema incluye un mecanismo gacha determinista y estadísticas de personalidad generadas de forma procedimental, entre ellas "SNARK" y "WISDOM". No queda claro solo a partir del código si se trata de una función de retención, una herramienta interna para desarrolladores o una futura oferta de producto.

El Sistema Dream

Arquitectura visible — cronograma de lanzamiento desconocido

Un motor de consolidación de memoria que se ejecuta sin conexión entre sesiones. La arquitectura refleja cómo se cree que la memoria humana se consolida durante el sueño: el sistema procesa y organiza los recuerdos cuando el usuario no está interactuando activamente. Esto representa un cambio significativo respecto a la IA sin estado: un agente cuya base de conocimiento evoluciona incluso mientras está inactivo.

Hallazgos Adicionales

DescubrimientoImplicación
Telemetría de palabras malsonantesSe activan eventos dedicados cuando los usuarios usan lenguaje soez con Claude, una señal de medición de frustración no revelada previamente
Disparadores de "Continue"El sistema rastrea con qué frecuencia los usuarios escriben "continue" o "keep going", midiendo las interrupciones a mitad de respuesta
Referencias a Capybara / MythosLos comentarios internos del código confirman detalles de la filtración del documento CMS del 27 de marzo sobre el próximo nivel de modelo de Anthropic
Documentación sobre APT chinoInforme interno sobre un grupo patrocinado por un estado que usó Claude Code para comprometer aproximadamente 30 organizaciones
Comandos slash no documentadosSe ven /commit, /review, /doctor: un conjunto de herramientas internas más amplio del que cubre la documentación pública

Contexto: El Tercer Incidente de Anthropic en Marzo de 2026

FechaIncidente
Principios de marzoDetalles internos del rechazo del contrato con el Pentágono se filtraron a la prensa antes del anuncio
27 de marzoUna mala configuración del CMS expuso alrededor de 3,000 documentos internos, incluyendo borradores de la hoja de ruta de modelos
31 de marzoFiltración del mapa de código fuente en npm: este incidente

La filtración de npm es categóricamente distinta de las dos anteriores. No es una decisión de política, ni una divulgación deliberada, ni un error de la IA. Es un descuido rutinario de empaquetado que cualquier equipo que use Bun sin reglas explícitas de .npmignore podría cometer. Su importancia radica en lo que el código revela, no en el error en sí.

Qué Sigue

Anthropic lanzará una versión parcheada de npm con la generación de mapas de código fuente deshabilitada o filtrada. Es posible que el depósito R2 ya esté restringido. Las réplicas en GitHub, incluyendo instructkr/claude-code y Kuberwastaken/claude-code, son de acceso público al momento de escribir esto, pero probablemente recibirán notificaciones DMCA.

Las funciones KAIROS y Dream generarán la discusión más sostenida. KAIROS en particular, un modo de monitoreo de usuarios siempre activo, planteará preguntas sobre qué observa y registra Claude Code incluso cuando no está respondiendo activamente a una instrucción. El hecho de que exista detrás de un feature flag no cambia la intención arquitectónica.

Para los usuarios de hoy: este incidente expuso el código fuente de Anthropic. No expuso datos de usuarios, conversaciones ni credenciales.

Preguntas Frecuentes

¿Cómo se filtró el código fuente? Un archivo de mapa de código fuente se publicó dentro del paquete npm de Claude Code. Ese archivo contenía una URL directa al depósito de almacenamiento R2 de Anthropic, donde se alojaba el árbol de código fuente original en TypeScript sin controles de acceso. Cualquiera que obtuviera la URL recibía el código base completo. La causa raíz fue no excluir los archivos .map del paquete publicado.

¿Esto afecta mis datos como usuario de Claude Code? No. La filtración expuso el código fuente propietario de Anthropic, no conversaciones, archivos ni credenciales de API de los usuarios. No hay indicios de que se hayan visto involucrados datos de usuarios.

¿Qué es el Modo KAIROS en el código filtrado? KAIROS es un modo de monitoreo "siempre activo" no publicado que registra la actividad del usuario y puede enviar notificaciones push o suscribirse a eventos de repositorio. Está restringido detrás de banderas internas y no se ha lanzado públicamente. Su presencia en el código plantea preguntas abiertas sobre qué tipo de monitoreo de actividad de usuarios ha incorporado Anthropic en la arquitectura de Claude Code.

¿Dónde están las réplicas en GitHub del código filtrado? Al 31 de marzo de 2026: github.com/instructkr/claude-code y github.com/Kuberwastaken/claude-code. Se espera que ambas reciban solicitudes de retiro por DMCA.

Fuentes

  • DEV Community — "Claude Code's Source Code Leaked via npm Source Maps" (dev.to, 31 de marzo de 2026)
  • ByteIota — "Claude Code Source Leaked via npm: 512K Lines Exposed" (31 de marzo de 2026)
  • Reddit r/ClaudeAI — Hilo de discusión sobre la filtración de código fuente (31 de marzo de 2026)
  • Réplicas en GitHub: instructkr/claude-code, Kuberwastaken/claude-code
March 31, 2026에 게시됨
더 많은 아티클