Volver
Anthropic filtró 512.000 líneas de Claude Code
March 31, 2026
7 min de lectura
Comparte este artículo

Anthropic filtró 512.000 líneas de Claude Code

Un mapa de código fuente filtrado dejó al descubierto un bucket R2 de Anthropic y 512.000 líneas de Claude Code, revelando cuatro funciones aún no publicadas, entre ellas la monitorización KAIROS y el motor Dream.

Resumen

Un archivo de mapa de código (source map) incluido accidentalmente en el paquete npm de Claude Code dio a cualquier desarrollador con la URL correcta acceso directo al bucket privado de almacenamiento R2 de Anthropic, y a todo el árbol de código fuente TypeScript sin ofuscar que contenía. La exposición: 1.900 archivos, más de 512.000 líneas de código. La historia más profunda: cuatro funciones internas que nunca se habían anunciado públicamente, incluyendo un modo de monitorización continua de actividad y un sistema de consolidación de memoria en segundo plano que Anthropic denomina el motor Dream.

Qué ocurrió

Cuando los desarrolladores compilan JavaScript o TypeScript para producción, herramientas de empaquetado (bundlers) como Bun generan archivos de mapa de código (.map) para facilitar la depuración. Estos archivos hacen referencia al código fuente original, sin minificar. A menos que se excluyan explícitamente del paquete publicado, esas referencias se hacen públicas cuando el paquete se publica.

El equipo de ingeniería de Anthropic construyó Claude Code con Bun, y la compilación de producción incluía un archivo .map que apuntaba a una URL en el almacenamiento en la nube R2 de Anthropic. Esa URL no tenía control de acceso. El investigador de seguridad Chaofan Shou (@shoucccc), de la firma Web3 FuzzLand, descubrió la referencia el 31 de marzo de 2026, obtuvo la URL y recuperó el árbol de código fuente completo.

La solución necesaria para evitarlo: una línea en .npmignore, o desactivar la generación de mapas de código antes de empaquetar. No se hizo ninguna de las dos cosas.

En cifras

DetalleCifra
Líneas de TypeScript expuestasMás de 512.000
Archivos de código fuente en la filtración1.900
Funciones no anunciadas previamente4
Declaraciones públicas de Anthropic0

Cuatro funciones no publicadas encontradas dentro

Modo KAIROS

Interno — no lanzado a los usuarios

Un modo permanente en segundo plano que monitoriza y registra la actividad del usuario de forma continua. El código muestra que puede enviar notificaciones push y suscribirse a eventos de pull request, lo que sugiere que está diseñado para interrumpir al usuario cuando Claude detecta el momento adecuado para intervenir. El nombre proviene del concepto griego de "kairos", el momento oportuno. Sin anuncio previo, sin documentación pública.

ULTRAPLAN

No publicado — infraestructura de tiempo de ejecución en la nube visible en el código

Un sistema de planificación remoto que dirige el razonamiento complejo de múltiples pasos a un Cloud Container Runtime (CCR) que ejecuta el modelo Opus 4.6 de Anthropic. Las sesiones pueden ejecutarse de forma asíncrona durante hasta 30 minutos, muy por encima de una ventana de contexto estándar. El propósito queda claramente indicado en los comentarios del código: las tareas demasiado complejas para una única sesión interactiva se delegan y se completan en segundo plano.

El sistema Buddy

Código completo — no anunciado públicamente

Un sistema de gamificación integrado en el producto, construido en torno a una mascota compañera con 18 especies (incluyendo criaturas llamadas "Cosmoshale" y "Nebulynx"). El sistema incluye un mecanismo de gacha determinista y estadísticas de personalidad generadas de forma procedimental, entre ellas "SNARK" y "WISDOM". No queda claro solo a partir del código si se trata de una función de retención, una herramienta interna para desarrolladores o una futura oferta de producto.

El sistema Dream

Arquitectura visible — cronograma de lanzamiento desconocido

Un motor de consolidación de memoria que se ejecuta sin conexión entre sesiones. La arquitectura refleja cómo se cree que la memoria humana se consolida durante el sueño: el sistema procesa y organiza los recuerdos cuando el usuario no está interactuando activamente. Esto representa un cambio significativo respecto a la IA sin estado: un agente cuya base de conocimiento evoluciona incluso en reposo.

Hallazgos adicionales

DescubrimientoImplicación
Telemetría de palabrotasSe activan eventos específicos cuando los usuarios dicen palabrotas a Claude, una señal de medición de frustración no revelada anteriormente
Activadores de "Continue"El sistema registra la frecuencia con la que los usuarios escriben "continue" o "keep going", midiendo los cortes a mitad de respuesta
Referencias a Capybara / MythosLos comentarios internos del código confirman detalles de la filtración del documento CMS del 27 de marzo sobre el próximo nivel de modelo de Anthropic
Documentación sobre APT chinoInforme interno sobre un grupo patrocinado por un estado que usó Claude Code para comprometer aproximadamente 30 organizaciones
Comandos slash no documentados/commit, /review, /doctor visibles: un conjunto de herramientas internas más completo que el que cubre la documentación pública

Contexto: el tercer incidente de Anthropic en marzo de 2026

FechaIncidente
Principios de marzoDetalles internos sobre el rechazo del contrato con el Pentágono se filtraron a la prensa antes del anuncio
27 de marzoUna configuración incorrecta del CMS expuso alrededor de 3.000 documentos internos, incluyendo borradores de la hoja de ruta de modelos
31 de marzoFiltración de mapas de código en npm: este incidente

La filtración de npm es categóricamente diferente de las dos anteriores. No es una decisión política, una divulgación deliberada ni un error de la IA. Es un descuido rutinario de empaquetado que cualquier equipo que use Bun sin reglas explícitas en .npmignore podría cometer. Su importancia radica en lo que el código revela, más que en el error en sí.

Qué sigue

Anthropic publicará una versión parcheada de npm con la generación de mapas de código desactivada o filtrada. Es posible que el bucket de R2 ya esté restringido. Los espejos (mirrors) en GitHub, incluidos instructkr/claude-code y Kuberwastaken/claude-code, son accesibles públicamente en el momento de escribir esto, pero probablemente recibirán notificaciones DMCA.

Las funciones KAIROS y Dream generarán el debate más sostenido. KAIROS en particular, un modo de monitorización de usuarios siempre activo, planteará preguntas sobre qué observa y registra Claude Code incluso cuando no está respondiendo activamente a una solicitud. El hecho de que exista detrás de un feature flag no cambia la intención arquitectónica.

Para los usuarios hoy: este incidente expuso el código fuente de Anthropic. No expuso datos de usuarios, conversaciones ni credenciales.

Preguntas frecuentes

¿Cómo se filtró el código fuente? Se publicó un archivo de mapa de código dentro del paquete npm de Claude Code. Ese archivo contenía una URL directa al bucket de almacenamiento R2 de Anthropic, donde se alojaba el árbol de código fuente original de TypeScript sin controles de acceso. Cualquiera que obtuviera la URL recibía el código base completo. La causa raíz fue no excluir los archivos .map del paquete publicado.

¿Afecta esto a mis datos como usuario de Claude Code? No. La filtración expuso el código fuente propietario de Anthropic, no conversaciones, archivos ni credenciales de API de los usuarios. No hay indicios de que se hayan visto involucrados datos de usuarios.

¿Qué es el modo KAIROS en el código filtrado? KAIROS es un modo de monitorización "siempre activo" no publicado que registra la actividad del usuario y puede enviar notificaciones push o suscribirse a eventos de repositorio. Está protegido por indicadores internos y no se ha lanzado públicamente. Su presencia en el código plantea preguntas abiertas sobre qué monitorización de la actividad del usuario ha integrado Anthropic en la arquitectura de Claude Code.

¿Dónde están los espejos de GitHub del código filtrado? A fecha del 31 de marzo de 2026: github.com/instructkr/claude-code y github.com/Kuberwastaken/claude-code. Cabe esperar que ambos reciban solicitudes de retirada por DMCA.

Fuentes

  • DEV Community — "Claude Code's Source Code Leaked via npm Source Maps" (dev.to, 31 de marzo de 2026)
  • ByteIota — "Claude Code Source Leaked via npm: 512K Lines Exposed" (31 de marzo de 2026)
  • Reddit r/ClaudeAI — Hilo de debate sobre la filtración de código fuente (31 de marzo de 2026)
  • Espejos en GitHub: instructkr/claude-code, Kuberwastaken/claude-code
Publicado el March 31, 2026
Más artículos