- El paquete npm para Claude Code 2.1.88 incluyó accidentalmente un mapa de origen masivo que dejó al descubierto alrededor de 512,000 líneas de código TypeScript interno.
- La filtración fue causada por un error humano en el proceso de empaquetado, no por un ciberataque directo, pero aun así reveló aspectos de la arquitectura, la lógica de seguridad y funciones no lanzadas.
- Los investigadores replicaron rápidamente el código, descubriendo módulos como KAIROS, BUDDY, modos encubiertos, orquestación multiagente y un sistema de memoria de tres capas.
- El incidente plantea graves riesgos para la cadena de suministro, la vulneración de la seguridad y la clonación, y ejerce presión sobre Anthropic y otros proveedores de IA para que refuercen sus flujos de trabajo de publicación.
El accidental Exposición del código fuente interno de Claude Code a través de npm ha convertido un lanzamiento rutinario en uno de los incidentes de seguridad de IA más comentados de los últimos años. Lo que comenzó como un error de empaquetado en torno a un mapa de origen de JavaScript terminó colocando cientos de miles de líneas de TypeScript de Anthropic en manos de investigadores, competidores y atacantes oportunistas de todo el mundo.
En lugar de una brecha clásica que involucre defensas perimetrales o credenciales robadas, este caso muestra cómo simple error humano en la publicación de software puede revelar propiedad intelectual altamente sensible. La filtración no incluye ponderaciones de modelos ni datos de clientes, pero sí expone el funcionamiento interno de uno de los sistemas más avanzados. asistentes de codificación con agentes En el mercado, desde sus sistemas de memoria y filtros de seguridad hasta funciones experimentales que nunca estuvieron destinadas a ser públicas.
Cronología: desde el lanzamiento de npm hasta la replicación global
El incidente se centra en el paquete npm. @anthropic-ai/claude-code, específicamente la versión 2.1.88. Durante un lanzamiento que por lo demás fue estándar, Anthropic publicó un Archivo de mapa de origen JavaScript de aproximadamente 60 MB (comúnmente conocido como cli.js.map) junto con el paquete CLI minificado. En lugar de ser eliminado del artefacto de producción, ese mapa conservó un sourcesContent campo que efectivamente incrustó el código TypeScript original.
Debido a ese descuido, cualquiera que tomara el paquete podría Reconstruir aproximadamente 1,900 archivos y más de 500 000 líneas de TypeScript., exponiendo el enrutamiento de comandos de la CLI, la orquestación de herramientas, la lógica de telemetría, las comprobaciones de seguridad y las indicaciones internas. El mapa también apuntaba a un archivo zip accesible públicamente en El propio bucket de almacenamiento Cloudflare R2 de Anthropic, lo que significaba que no era necesaria ninguna intrusión: el archivo simplemente estaba ahí, accesible desde internet.
El problema fue destacado por primera vez por Investigador de seguridad Chaofan Shou (@Fried_rice), un miembro de la empresa de seguridad blockchain Fuzzland, que publicó un enlace directo al bucket expuesto en X. En cuestión de horas, Aparecieron repositorios espejo en GitHub.Algunos proyectos atrajeron rápidamente decenas de miles de estrellas, mientras los desarrolladores se apresuraban a clonar e inspeccionar el código antes de que desapareciera.
Antropía reaccionada por obteniendo la versión de npm afectada y lanzando una oleada de solicitudes de eliminación por infracción de derechos de autor (DMCA) dirigidas a GitHub y otras plataformas de alojamiento. Sin embargo, para cuando se puso en marcha la campaña de eliminación, ya se habían archivado, bifurcado y redistribuido innumerables copias, lo que hizo prácticamente imposible retirar el material por completo.
Cómo un fallo en el embalaje provocó la apertura de un agente de IA insignia
En papel, Publicando una nueva versión de Claude Code en npm. debería ser una tarea rutinaria: enviar un paquete JavaScript minificado, incluir solo lo estrictamente necesario y confiar en archivos de configuración (como .npmignore o el files campo en package.json) para mantener los artefactos de depuración fuera del paquete final.
En este caso, varias pequeñas decisiones se acumularon de la manera incorrecta. La canalización de compilación utilizó el atador de bollos, el cual genera mapas de origen por defectoNingún paso posterior en el flujo de compilación o empaquetado eliminó ese mapa y un lista de ignorados mal configurada Esto significaba que el mapa se enviaba directamente al registro público. A partir de ahí, la naturaleza abierta y globalmente replicada de npm hizo el resto.
Anthropic ha recalcado que no se admiten datos confidenciales de clientes, credenciales ni ponderaciones de modelos. formaban parte de la filtración. En realidad, se trataba de un problema de empaquetado: los metadatos de depuración destinados a la resolución de problemas internos se incluyeron accidentalmente en una versión de producción. Esta explicación es precisa desde una perspectiva de seguridad estricta, pero subestima la enorme cantidad de información estratégica que reside en el código fuente de un agente de IA moderno.
Para complicar aún más las cosas, esto fue no la primera vez Algo así había sucedido. Según se informa, una fuga de mapa de origen muy similar afectó a una compilación anterior de Claude Code en 2025 de febreroDos incidentes casi idénticos ocurridos en un lapso de aproximadamente 13 meses inevitablemente plantean interrogantes sobre la rigurosidad con la que Anthropic aplica las medidas de seguridad en sus procesos de lanzamiento.
Lo que realmente revela el Código Claude filtrado
Una vez que los investigadores y desarrolladores comenzaron a examinar los archivos recuperados, quedó claro que no se trataba de una simple ojeada superficial a algunos scripts auxiliares, sino de una Sección transversal arquitectónica completa del CLI de Claude CodeEl árbol de TypeScript abarca aproximadamente medio millón de líneas y cubre:
- Ejecución y orquestación de herramientas: cómo Claude Code planifica, secuencia e invoca herramientas, shells y servicios externos.
- Esquemas de permisos y reglas de aislamiento (sandboxing): La lógica exacta que decide qué comandos se pueden ejecutar, con qué parámetros y en qué entornos.
- Sistemas de memoria y gestión del contexto: Estrategias para gestionar sesiones de larga duración sin perder coherencia.
- Telemetría y análisis: lo que se mide, se agrega y se envía de vuelta a Anthropic.
- Mensajes del sistema e indicadores de funciones: las instrucciones ocultas que dan forma al comportamiento del agente y activan o desactivan las capacidades experimentales.
Los análisis comunitarios destacaron una diseño de memoria de tres capas centrado en un archivo que a menudo se describe como MEMORY.mdEn lugar de registrar indefinidamente el historial de interacciones sin procesar, Claude Code mantiene una estructura de referencia indexada y basada en temasEl agente consulta ese índice cuando necesita recordar trabajos anteriores, recuperando solo los fragmentos relevantes para la tarea actual y siguiendo reglas de escritura estrictas para reducir la desviación del contexto y la autocorrupción.
Este enfoque de “memoria con sano escepticismo” ayuda a mitigar el entropía de conversaciones de larga duracióndonde la acumulación de contexto ingenua de otro modo haría que el agente se volviera inconsistente o alucinara. Para otros equipos que desarrollan herramientas de agentes, la fuga es efectivamente Una clase magistral gratuita sobre orquestación de memoria de nivel profesional..
La fuente también expone varios ganchos de telemetría internos. Entre ellos hay lógica que banderas señales de frustración — por ejemplo, escanear en busca de obscenidades en las indicaciones — sin conservar conversaciones completas de los usuarios ni bases de código. Otra pieza destacable es un modo “encubierto” o sigiloso Diseñado para eliminar los nombres en clave internos del proyecto y otros identificadores confidenciales de las confirmaciones y solicitudes de extracción de Git, de modo que las contribuciones escritas por IA no filtren accidentalmente detalles confidenciales.
Más allá de los sistemas ya visibles en el producto, la base de código hace referencia a: funcionalidad no publicada u oculta Controlado mediante indicadores de funciones: modos para el funcionamiento en segundo plano, la coordinación entre múltiples agentes e incluso toques lúdicos en la interfaz de usuario, como los acompañantes de la terminal.
Módulos no publicados: KAIROS, BUDDY y enjambres multiagente.
Algunos de los descubrimientos más llamativos giran en torno a capacidades que Anthropic aún no había anunciado públicamente, y que ahora se exponen con gran detalle técnico. Uno de los módulos más destacados es KAIROS, descrito en los comentarios y la configuración como un demonio en segundo plano que se ejecuta continuamente que monitorea los cambios de archivos, registra eventos y realiza las llamadas dream o la consolidación “onírica” se produce cuando el usuario está inactivo.
En la práctica, KAIROS parece darle a Claude Code algo cercano a autonomía “siempre activa”En lugar de esperar pasivamente las indicaciones, el agente puede activarse periódicamente, reindexar su comprensión del código fuente, limpiar sus estructuras de memoria y preparar mejores planes para las próximas sesiones de trabajo. Para los equipos que experimentan con agentes totalmente autónomos, esto revela esencialmente el modelo de Anthropic para trabajadores en segundo plano de larga duración.
Otra característica que rápidamente capturó la imaginación de Internet es COMPAÑERO, representado en el código como una especie de mascota del lado de la terminalLa implementación incluye 18 “especies” diferentes —una de ellas un capibara— así como estadísticas divertidas como DEBUGGING, PATIENCE además CHAOSAunque superficialmente parezca caprichoso, BUDDY apunta a que Anthropic está experimentando con experiencias de desarrollo más expresivas y con mayor conciencia emocional.
En el extremo más serio del espectro se encuentra una arquitectura para la colaboración multiagente. Descrita internamente a través de construcciones como una Modo COORDINADOR además Sesiones ULTRAPLANEste sistema permite que un agente principal Generar y supervisar flotas de agentes trabajadores. En paralelo, los fragmentos de documentación hacen referencia a reuniones de planificación remotas entre agentes que duran entre 10 y 30 minutos, lo que sugiere un modelo en el que Claude Code puede dividir una tarea grande, delegar subtareas a ayudantes y luego combinar los resultados.
También hay indicios de módulos y variantes de modelos que aún están en desarrollo, incluidas referencias a nombres internos como Capibara, enmarcadas como evoluciones de la familia Claude 4.x. Métricas incrustadas en el código mencionadas Tasas de falsos positivos que rondan el 29-30%. Para algunos sistemas de seguridad o detección, en comparación con alrededor del 16.7 % en rondas anteriores, cifras sinceras que normalmente se quedarían dentro de los paneles de control de ingeniería.
En conjunto, estos hallazgos convierten el árbol filtrado en Una visión general de la estrategia de agentes de Anthropic, con un nivel de detalle excepcional.: dónde considera la empresa los límites de la autonomía útil, cómo desea que colaboren los agentes y con qué dilemas está lidiando actualmente.
Fugas de la cárcel, clones y consecuencias para la cadena de suministro
Aunque no se hayan expuesto contraseñas ni tokens, los especialistas en seguridad están lejos de relajarse. Con la lógica completa de la CLI en mano, resulta mucho más fácil Aplicar ingeniería inversa a las barandillas de seguridad de Claude Code y explorar rutas alternativas. Lo que antes era una caja negra ahora es una guía paso a paso sobre cómo la herramienta analiza los comandos, aplica filtros y decide si es seguro ejecutar algo en la terminal del usuario.
Esa transparencia puede ser un arma de doble filo. Por un lado, los investigadores defensivos ahora pueden auditar el modelo de seguridad con una profundidad sin precedentes y sugerir estrategias de endurecimiento. Por otro lado, los atacantes pueden elaborar cuidadosamente indicaciones y manipulaciones del contexto para Introducir instrucciones maliciosas sin que los validadores de Bash las detectenexplotar las sutiles diferencias entre las capas de permisos o persuadir al agente para que realice acciones que nunca debió ejecutar.
Una preocupación estrechamente relacionada es el aumento en clones maliciosos o falsificadosCon un código fuente listo para producción, resulta muy sencillo para un atacante malintencionado eliminar la marca y la telemetría, inyectar puertas traseras o lógica de exfiltración de datos y publicar un paquete casi idéntico con un nombre ligeramente diferente. Para los desarrolladores que instalan herramientas de npm de forma automática, el riesgo de instalar un agente infectado similar a Claude es ahora considerablemente mayor.
El momento en que se produjo la fuga amplificó estas preocupaciones. Aproximadamente en la misma ventana, npm se enfrentó a un ataque independiente a la cadena de suministro en el popular axios PARA DOS, con versiones maliciosas activas aproximadamente entre las 00:21 y las 03:29 UTC. Ese incidente paralelo puso de manifiesto la fragilidad del ecosistema JavaScript en lo que respecta a la confianza en las dependencias.
Las directrices de seguridad para los equipos que instalaron o actualizaron Claude Code a través de npm durante ese período han sido contundentes: audita tu árbol de dependenciasespecialmente para paquetes como axios además plain-crypto-js; rotar las credenciales que pudieran haber estado presentes en los sistemas afectados; y vigilar de cerca el comportamiento anómalo. Anthropic, por su parte, ha sugerido explícitamente prefiriendo su instalador nativo sobre npm de cara al futuro, para reducir la superficie de ataque.
Respuesta oficial de Anthropic y campaña de DMCA
Cuando se dio a conocer la noticia de la filtración, Anthropic se apresuró a moldear la narrativa. En comentarios compartidos con medios como TecMundo y VentureBeat, la compañía enfatizó que Esto fue un problema de empaquetado de la versión causado por un error humano.No se trata de una violación de la infraestructura interna ni de un ataque informático externo.
El mensaje central se mantuvo constante: Sin secretos de clientes, sin credenciales, sin pesos de modelos se había filtrado; solo se expuso la lógica interna de la aplicación. El comunicado también enfatizó que Anthropic ya estaba Implementar medidas de seguridad para prevenir percances similares En futuras versiones, aunque no se han hecho públicos análisis post mortem detallados.
En el ámbito legal, la empresa emprendió un proceso enérgico. Campaña de eliminación de DMCAGitHub y otros proveedores de alojamiento web comenzaron a recibir solicitudes para eliminar repositorios que replicaban el código fuente de Claude Code, y algunos de los repositorios más destacados desaparecieron tras acumular una atención y un debate considerables.
A pesar de estas medidas, la realidad práctica es que una vez que un código fuente de este tamaño se escapa al exterior, Controlarlo por completo es casi imposible.Las copias archivadas circulan de forma privada, los paquetes cifrados se encuentran en sitios genéricos para compartir archivos y subconjuntos del código ya han sido adaptados o reimplementados en otros lenguajes como Python y Rust por entusiastas que buscan eludir las restricciones de derechos de autor.
El incidente también se produjo pocos días después de un percance de configuración diferente, según se informó. expusieron alrededor de 3,000 archivos internos vinculado a un modelo no lanzado conocido como “Claude Mythos” a través de un CMS mal configurado. Dos fallos de publicación no relacionados en menos de una semana han llevado naturalmente a los observadores a cuestionar La higiene operativa de Anthropic en torno a las versiones de contenido y código..
Mayor impacto en el ecosistema de IA y en la competencia.
Desde el punto de vista empresarial, la fuga afecta a un producto que ya era considerado como uno de los principales motores de ingresos de AnthropicLas estimaciones de la industria sitúan los ingresos recurrentes anuales de Claude Code en unos pocos miles de millones, con una gran mayoría de uso proveniente de clientes empresariales. Eso hace que la CLI no sea solo un juguete para desarrolladores, sino una pilar estratégico de la hoja de ruta comercial de la empresa.
Al hacer pública gran parte de su arquitectura, el incidente efectivamente les da ventaja a los equipos rivales. un manual de ingeniería con gran nivel de detalle Esto requeriría años de experimentación y una inversión considerable. Las herramientas de la competencia, incluidos los nuevos entornos de desarrollo integrados (IDE) basados en agentes y los asistentes de programación, ahora pueden comparar sus propios enfoques con las decisiones de diseño reales de Anthropic, en lugar de basarse en conjeturas y lenguaje de marketing.
Al mismo tiempo, la filtración reduce la barrera de entrada para los posibles Competidores de Claude CodeAhora es mucho más fácil crear un agente con patrones de memoria, flujos de trabajo en segundo plano y capacidades de coordinación similares, tomando como referencia implementaciones que ya han sido optimizadas para su uso en producción. En ese sentido, una parte importante de la ventaja competitiva de Anthropic se ha convertido repentinamente en conocimiento compartido para toda la industria.
La historia sugiere que tales eventos pueden tener un efecto paradójico. Por un lado, acelerar la innovación en todo el campo, a medida que más equipos aprenden de ejemplos de alta calidad. Por otro lado, reducen la ventaja de los pioneros, obligando a las empresas establecidas a actuar con mayor rapidez e invertir más en características diferenciadoras, seguridad y confiabilidad.
Para las startups y los compradores empresariales que evalúan herramientas de IA, el episodio también puede cambiar sutilmente las expectativas. Es probable que los clientes potenciales presionen más a los proveedores sobre Disciplina de lanzamiento, medidas de seguridad de CI/CD y procesos de respuesta a incidentesConsiderando que los sistemas de publicación segura son una parte indispensable de cualquier plataforma de IA seria.
Lecciones de seguridad: desde archivos de configuración hasta servidores MCP
Los líderes y profesionales de la seguridad han utilizado la filtración como trampolín para proponer medidas defensivas concretas Para organizaciones que ya están experimentando con herramientas de codificación de agentes. Una recomendación recurrente es: archivos de configuración de auditoría asociados con Claude Code, como CLAUDE.md además .claude/config.json, que pueden actuar como vectores de alto privilegio para inyectar instrucciones ocultas o relajar la configuración de seguridad.
Otra área de énfasis es tratar los servidores de herramientas externas y los puntos finales del Protocolo de Contexto de Modelo (MCP) como dependencias no confiablesAhora que los contratos están expuestos en detalle, operadores malintencionados podrían intentar suplantar la identidad de servidores legítimos o alterar sutilmente el comportamiento en esos puntos de integración. Fijar versiones, supervisar los cambios y reforzar los controles de acceso pueden reducir ese riesgo.
Dado lo rápido que un asistente de IA puede mover el código, también se insta a los equipos a... Bloquear los permisos de la consola y escanear sistemáticamente en busca de secretos. antes incluso de que lleguen a un repositorio. Las mismas capacidades que hacen que los agentes sean productivos —editar rápidamente configuraciones, conectar CI y acceder a múltiples servicios— pueden amplificar fácilmente un solo paso en falso hasta convertirlo en una grave fuga de credenciales.
Finalmente, existe una creciente presión sobre las organizaciones para... rastrear la procedencia de las confirmaciones asistidas por IAA medida que agentes escriben o modifican una mayor parte del código del mundo, los reguladores y auditores pueden esperar razonablemente políticas de divulgación claras, registros sólidos y formas de verificar el origen de la lógica crítica, especialmente en ámbitos sensibles o regulados.
En conjunto, estas sugerencias reflejan un cambio de tratar a los agentes de IA como una herramienta de desarrollador más a reconocerlos como infraestructura central con sus propios modelos de amenazas dedicadosvulnerabilidades de la cadena de suministro y necesidades de gobernanza.
En definitiva, la filtración de Claude Code a través de npm es menos una historia sobre una única versión defectuosa y más sobre cómo Los pequeños errores comunes en los procesos de desarrollo de software modernos pueden transformar el panorama competitivo y de seguridad. En torno a la IA, ahora que el manual interno del agente es prácticamente público, Anthropic y sus competidores se enfrentan a una creciente presión para reforzar sus flujos de publicación, replantearse cuánta lógica exponen en el extremo de la red y crear culturas donde los detalles de configuración reciban el mismo escrutinio que cualquier arquitectura de modelo de vanguardia.
