anthropicclaude-codeseguridadinteligencia-artificialfiltración-codigo

El Código de Claude Expuesto: La Ironía de Anthropic

Tincho Fuentes··10 min de lectura
El Código de Claude Expuesto: La Ironía de Anthropic

La ironía de Anthropic: entrenó su IA con código ajeno y luego vio el suyo propio filtrado al mundo

TL;DR:

  • El 31 de marzo de 2026, Anthropic filtró accidentalmente 512.000 líneas del código fuente de Claude Code a través de un archivo .map olvidado en su paquete npm.
  • La empresa clasificó el incidente como "error humano" y envió avisos DMCA para eliminar más de 8.100 repositorios de GitHub.
  • La ironía es aplastante: Anthropic entrenó a Claude con millones de obras pirateadas y pagó $1.500 millones en el mayor acuerdo por derechos de autor de la historia de EE. UU. Ahora invoca esas mismas protecciones para proteger su propio código.

Un descuido de 59,8 MB que lo cambió todo

A las 04:00 UTC del 31 de marzo de 2026, Anthropic publicó en npm la versión 2.1.88 de Claude Code, su asistente de programación basado en inteligencia artificial. Era una actualización rutinaria. O eso pensaban.

Veintitrés minutos después, a las 04:23 UTC, Chaofan Shou —investigador en Solayer Labs— publicó un tuit que encendió la mecha: dentro del paquete publicado, había encontrado un archivo de mapa de origen (main.js.map) de 59,8 megabytes que nadie debería haber visto jamás.

Ese archivo apuntaba directamente a un ZIP alojado en el bucket Cloudflare R2 de Anthropic. Un ZIP que contenía 1.906 archivos TypeScript con 512.000 líneas del código fuente completo de Claude Code.

La noticia se viralizó en minutos. Al terminar el día, había acumulado más de 26 millones de impresiones solo en X. Repositorios espejo aparecieron en GitHub a una velocidad que el equipo legal de Anthropic jamás podría igualar.

¿Qué quedó expuesto exactamente?

No se trata de un par de scripts internos sin importancia. El código filtrado incluye el núcleo operativo completo de Claude Code:

  • El motor central de llamadas al LLM
  • El manejo de herramientas y el sistema de permisos
  • La arquitectura de memoria y los flujos OAuth
  • 44 feature flags de funcionalidades no lanzadas, incluyendo proyectos internos con nombres en clave como KAIROS y Buddy/Tamagotchi (un agente de IA estilo mascota, diseñado para estar siempre activo)

Anthropic se apresuró a aclarar que no se habían filtrado datos de usuarios ni credenciales. Técnicamente cierto. Pero lo que sí quedó expuesto es, estratégicamente, mucho más valioso: la "receta completa" de su asistente de programación, más la hoja de ruta interna de producto que ningún comunicado de prensa había anticipado.

El vector técnico: un .npmignore que nunca debió fallar

El vector de exposición no fue un ataque sofisticado. Fue una línea faltante en un archivo de configuración.

En JavaScript y TypeScript, los archivos .map permiten asociar el código compilado con el código fuente original. Son herramientas de desarrollo que nunca deberían incluirse en un paquete publicado en producción, precisamente porque revelan el código sin ofuscar. La convención estándar es excluirlos con .npmignore.

El fallo combinó dos factores: una configuración incorrecta del .npmignore y un bug en el runtime Bun (en el que Claude Code está basado) que tampoco excluyó los mapas automáticamente. El resultado fue una cadena de exposición tan simple que resulta difícil de creer:

# Así de sencillo era acceder al código completo de Claude Code:
npm install @anthropic-ai/claude-code
# → descarga main.js.map (59.8 MB)
# → el .map apunta a: https://storage.anthropic.com/claude/anon/src.zip
# → curl -L -O 'https://storage.anthropic.com/...'
# → unzip: 512.000 líneas de TypeScript listas para explorar

Cualquier desarrollador con conocimientos básicos de npm podía recorrer la arquitectura interna de una de las herramientas de IA más usadas del mundo. Y lo hicieron.

La respuesta de Anthropic: discreta, calculada y sin disculpas

La reacción oficial de Anthropic fue minimalista por diseño. La compañía confirmó el incidente ante Axios, Business Insider y The Hacker News con una fórmula cuidadosamente elegida:

"Fue un problema en el empaquetado, error humano, no una brecha de seguridad."

Sin comunicado oficial en su sitio web. Sin conferencia de prensa. Sin disculpa pública. Solo citas controladas a medios seleccionados, suficientes para contener el daño narrativo sin comprometerse con más detalles de los estrictamente necesarios.

Al mismo tiempo, el equipo legal de Anthropic se movía en paralelo: en cuestión de horas, la empresa emitió solicitudes DMCA a GitHub para eliminar los repositorios que habían clonado el código. El aviso oficial, registrado en el repositorio público github/dmca, listaba ~8.100 repositorios presuntamente infractores, con la instrucción de eliminarlos por completo.

Uno de los mirrors más populares —instructkr/claw-code— había alcanzado más de 50.000 estrellas y decenas de miles de forks en apenas dos horas. Un récord histórico en GitHub. Otro, realsigridjin/claw-code, reimplementó el código completo en Python usando Codex de OpenAI y llegó a 75.000 estrellas, proclamando que era una versión "clean-room" inmune a DMCA.

La ironía que Anthropic preferiría que olvidaras

Aquí es donde la historia se pone verdaderamente interesante. O, según el cristal con que se mire, profundamente incómoda para las oficinas de San Francisco.

Anthropic es la misma empresa que, según documentos judiciales desclasificados, descargó deliberadamente millones de libros de sitios piratas como Library Genesis (LibGen) y PiLiMi para entrenar a Claude. El caso Bartz et al. v. Anthropic PBC, resuelto en agosto de 2025 con un acuerdo histórico de 1.500 millones de dólares —el mayor en la historia del copyright en Estados Unidos—, estableció una distinción que hoy debería resonar en los pasillos de la empresa:

El entrenamiento de IA puede ser "uso justo". La adquisición de datos robados para construir ese entrenamiento, no lo es.

La misma empresa que construyó su producto estrella sobre un corpus de obras protegidas —sin pedir permiso, sin pagar regalías, esperando que nadie se diera cuenta— ahora invoca las leyes de propiedad intelectual como un escudo. Con diligencia. Con velocidad. Con una batería de 8.100 DMCAs listas en cuestión de horas.

La misma empresa que durante años argumentó que el copyright no debería aplicar al entrenamiento de IA, recurre urgentemente al copyright para proteger su propio código el mismo día que este queda expuesto.

¿Cómo se llama eso? En periodismo, se llama contradicción documentada. En lenguaje cotidiano, tiene otros nombres.

"El internet nunca olvida" — lección que Anthropic aprendió por las malas

Las solicitudes DMCA funcionaron parcialmente. GitHub eliminó la mayoría de los repositorios notificados. Pero la comunidad no tardó en responder con creatividad:

  • Reimplementaciones en Python: desarrolladores crearon versiones "clean-room" del código, reescritas desde cero a partir de los hallazgos técnicos del leak. Al no contener literalmente el código original de Anthropic, estas versiones son inmunes a DMCA.
  • IPFS y mirrors descentralizados: el código fue subido a redes sin operador central al que notificar. "Nunca será retirado", proclamaron sus autores.
  • Análisis técnicos públicos: ingenieros publicaron artículos detallando el funcionamiento interno de Claude Code —mecanismos de memoria autonómica, lógica anti-destilación, sistemas de permisos— haciendo el conocimiento irreversiblemente público.

El internet —el mismo internet que Anthropic rastreó para obtener datos de entrenamiento sin pedir permiso— resultó ser un archivo permanente. Una ironía que, como buen periodista, prefiero dejar sin comentario adicional.

Los feature flags: la hoja de ruta que nadie debía ver

Más allá del código operativo, los 44 feature flags descubiertos ofrecen una visión inédita de lo que Anthropic tiene en desarrollo:

  • KAIROS: funcionalidad no anunciada, posiblemente relacionada con capacidades de planificación temporal o agentes de larga duración.
  • Buddy/Tamagotchi: un agente de IA "siempre activo", diseñado como una especie de mascota digital. La referencia al Tamagotchi —el juguete japonés de los 90 que moría si no lo atendías— no parece casual en una empresa que habla constantemente de "alineación" y "relación" con la IA.

Estos proyectos estaban protegidos bajo confidencialidad comercial. Ahora son conocimiento público. Los competidores de Anthropic —OpenAI, Google DeepMind, Meta— tienen acceso a la hoja de ruta. El daño estratégico es real y, a diferencia del código mismo, ese daño no puede ser retirado con ningún DMCA.

El patrón que se repite: "perdón después"

Este incidente no ocurre en el vacío. Los documentos desclasificados del caso Bartz revelan una cultura corporativa interna de "pedir perdón después": Anthropic tomó datos que sabía que eran problemáticos, construyó su producto, y gestionó las consecuencias legales una vez que era demasiado tarde para dar marcha atrás.

El "Project Panama" —el plan interno de Anthropic para comprar físicamente millones de libros y "escanearlos de forma destructiva" para digitalizarlos masivamente— fue catalogado por la comunidad editorial como "reprensible". La empresa lo calificó de "transformación de formato" y argumentó que era uso justo. Los tribunales, matizaron.

El mismo patrón se reproduce aquí: paquete publicado por descuido, respuesta discreta para contener el daño narrativo, acción legal agresiva. No hay señales de corrección transparente del proceso interno. Solo el mínimo indispensable para seguir adelante.

Anthropic publicó en enero de 2026 una "Constitución de la IA" de 79 páginas que habla de integridad y transparencia. Es un documento admirable en sus intenciones. Pero hay una brecha considerable entre los principios declarados y las prácticas documentadas.

Lo que viene: regulación, transparencia forzada y presión creciente

El incidente de Claude Code no es un episodio aislado. Se produce en un contexto de presión regulatoria creciente que va a exigir más, no menos:

  • El EU AI Act requiere que para agosto de 2026, empresas como Anthropic divulguen de forma granular los contenidos utilizados para el entrenamiento de sus modelos.
  • Los acuerdos post-Bartz obligan a supervisión judicial de las prácticas de datos y destrucción del material pirata.
  • El Copyright Clearance Center lanzó en marzo de 2026 licencias específicas para el entrenamiento de IA, cerrando progresivamente la vía del "uso justo" como único argumento.

La era de la opacidad en el desarrollo de IA está llegando a su fin. El sector lo sabe. Solo que algunos prefieren que llegue más tarde que pronto.

Conclusión: cuando la ironía supera a la ficción

El 31 de marzo de 2026, Anthropic se convirtió accidentalmente en el protagonista de una parábola perfecta sobre el doble estándar tecnológico.

Una empresa que construyó su negocio aprovechando el principio de que "la información quiere ser libre" —al menos cuando se trata del trabajo ajeno— descubrió de primera mano lo que es estar en el otro lado de esa ecuación. Una empresa que usó el código y la escritura de millones de personas sin pedirles permiso, ahora ve su propio código replicado en miles de repositorios que no puede controlar.

El código está afuera. Las reimplementaciones, también. El internet recordará.

Y mientras Anthropic trabaja en un instalador nativo para evitar dependencias npm en el futuro, en algún servidor de IPFS, 512.000 líneas de TypeScript siguen ahí, disponibles para cualquiera que las busque.

Poética justicia, como diría cualquier periodista que haya cubierto el caso Bartz desde el principio.

Fuentes verificadas: Axios · Business Insider · The Verge · GitHub DMCA Anthropic · Decrypt · Engineers Codex · Goodwin Law — caso Bartz

Tincho FuentesPeriodista tecnológico e investigador 🚀