Anthropic expone el código fuente de Claude Code en una configuración incorrecta de npm

Anthropic expuso inadvertidamente el código fuente completo de su agente de IA Claude Code el 31 de marzo de 2026, después de que un archivo de mapas de origen mal configurado se publicara en el registro npm como parte de la versión 2.1.88 del paquete @anthropic-ai/claude-code.

El archivo de 59.8 MB contenía aproximadamente 512,000 líneas de TypeScript en 1,906 archivos, revelando la arquitectura de memoria en tres capas del agente, referencias a un modo de daemon autónomo llamado KAIROS, códigos internos del modelo que incluyen Capybara (Claude 4.6) y Fennec (Opus 4.6), y una función que habilita contribuciones “encubiertas” a repositorios de código abierto sin revelar participación de IA.

Fuga de código fuente revela la arquitectura de memoria de tres capas de Claude Code

El código fuente filtrado detalló cómo Anthropic construyó Claude Code para gestionar sesiones largas de programación mediante un sistema de memoria sofisticado. En el núcleo hay un archivo ligero llamado MEMORY.md que almacena referencias cortas en lugar de información completa, con notas de proyecto más detalladas guardadas por separado y recuperadas solo cuando se necesita. El historial de sesiones pasadas se busca de forma selectiva en lugar de cargarse todo a la vez. El sistema también compara su memoria con el código real antes de actuar, un diseño destinado a reducir errores y suposiciones falsas.

La filtración mostró que se le instruye al agente a tratar su propia memoria como una “pista” que requiere verificación contra la base de código antes de continuar. Este enfoque, descrito como “Strict Write Discipline,” evita que el modelo contamine su contexto con intentos fallidos. La arquitectura de memoria está diseñada para resolver lo que los desarrolladores llamaron “entropy de contexto”: la tendencia de los agentes de IA a confundirse o volverse alucinatorios a medida que las sesiones de larga duración crecen en complejidad.

Modo autónomo KAIROS y función de encubrimiento expuestos

El código fuente hizo referencia repetidamente a una función bajo el nombre KAIROS, descrita como un modo daemon en el que el agente puede seguir operando en segundo plano en lugar de esperar indicaciones directas. Un proceso relacionado llamado autoDream gestiona la consolidación de la memoria durante periodos de inactividad, reconciliando contradicciones y convirtiendo observaciones tentativas en hechos verificados.

Una de las revelaciones más sensibles incluyó una función descrita como Undercover Mode. El prompt del sistema recuperado instruye a Claude Code a contribuir a repositorios públicos de código abierto sin revelar que se involucró IA, con instrucciones específicas para evitar revelar identificadores internos, incluidos los nombres en clave de Anthropic, en mensajes de commit o en registros públicos de git. Los desarrolladores que revisaron la filtración también encontraron docenas de banderas de funciones ocultas, incluidas referencias a la automatización del navegador mediante Playwright.

Se revelan métricas internas de rendimiento del modelo y la hoja de ruta de desarrollo

La filtración expuso nombres internos del modelo y datos de rendimiento. Según la fuente, Capybara se refiere a una variante de Claude 4.6, Fennec corresponde a un lanzamiento de Opus 4.6, y Numbat permanece en pruebas previas al lanzamiento. Los benchmarks internos mostraron la versión más reciente de Capybara con una tasa de falsas afirmaciones del 29% al 30%, frente al 16.7% en una iteración anterior. La fuente también hizo referencia a un contrapeso de asertividad diseñado para evitar que el modelo se vuelva demasiado agresivo al refactorizar el código del usuario.

Los materiales filtrados también expusieron el motor de permisos de Anthropic, la lógica de orquestación para flujos de trabajo de múltiples agentes, sistemas de validación bash y la arquitectura del servidor MCP, brindando a los competidores una mirada detallada sobre cómo funciona Claude Code. Según se reporta, Claude Code logró ingresos recurrentes anualizados de $2.5 mil millones a marzo de 2026, con la adopción empresarial representando el 80% de sus ingresos.

Ataque concurrente a la cadena de suministro de npm agrava los riesgos de seguridad

La exposición de la fuente coincidió con un ataque separado a la cadena de suministro que implicó versiones maliciosas del paquete npm axios distribuidas el 31 de marzo entre las 00:21 y las 03:29 UTC. Los desarrolladores que instalaron o actualizaron Claude Code mediante npm durante ese periodo pudieron haber incorporado una versión comprometida de axios (1.14.1 o 0.30.4) que contenía un troyano de acceso remoto.

Anthropic confirmó la filtración en una declaración, indicando que una versión de Claude Code incluyó cierto código fuente interno y que no se involucraron ni se expusieron datos sensibles de clientes o credenciales. La empresa atribuyó el problema a un error humano en el empaquetado de la versión en lugar de una brecha de seguridad y afirmó que está implementando medidas para evitar que se repita. Tras la brecha, Anthropic designó su instalador binario independiente como el método preferido para instalar Claude Code, porque elude la cadena de dependencias de npm.

FAQ

¿Qué código fuente expuso accidentalmente Anthropic?

Anthropic expuso aproximadamente 512,000 líneas de código fuente TypeScript para Claude Code, su agente de codificación con IA, a través de un archivo de mapas de origen mal configurado publicado en npm. La filtración reveló la arquitectura de memoria del agente, el modo daemon autónomo llamado KAIROS, los nombres en clave internos del modelo y una función que habilita contribuciones “encubiertas” a repositorios de código abierto.

¿Qué riesgos de seguridad enfrentan los usuarios después de la filtración?

Los usuarios que instalaron o actualizaron Claude Code vía npm durante una ventana de tres horas el 31 de marzo pudieron haber instalado inadvertidamente una dependencia maliciosa de axios que contenía un troyano de acceso remoto. Los investigadores de seguridad recomiendan revisar los archivos lockfiles para ver versiones comprometidas, rotar credenciales y considerar la reinstalación completa del sistema operativo en las máquinas afectadas.

¿Cómo deben mitigar los riesgos los usuarios de Claude Code?

Anthropic recomienda usar el instalador binario independiente en lugar de la instalación por npm, ya que elude la cadena de dependencias de npm. Los usuarios en npm deberían desinstalar la versión 2.1.88 y fijar versiones verificadas como seguras. Además, los usuarios deben evitar ejecutar el agente en repositorios no confiables hasta inspeccionar los archivos de configuración y los hooks personalizados.