Anthropic ha confirmado una filtración accidental del código fuente de su asistente de programación Claude Code. El incidente, que se produjo como consecuencia de un error humano durante el empaquetado de la versión 2.1.88, hizo que parte del repositorio interno de la herramienta fuera accesible públicamente a través de la plataforma de gestión de paquetes NPM. Aunque la empresa ha asegurado a los usuarios que ningún dato sensible se ha visto comprometido, el alcance de la filtración revela detalles inesperados sobre la arquitectura del software. Este suceso se produce en un contexto de mayor vigilancia sobre la seguridad de la cadena de suministro de software, ilustrado por otros incidentes recientes en el ecosistema del código abierto.
Un error de empaquetado deja al descubierto 512.000 líneas de código
El problema se originó en el proceso de liberación de la actualización 2.1.88 de Claude Code. Anthropic incluyó inadvertidamente un archivo de mapa de código fuente en el paquete liberado en NPM, lo que permitió reconstruir todo el código base en TypeScript. Los usuarios identificaron rápidamente este fallo analizando los archivos accesibles.
¡Se ha filtrado el código fuente de Claude a través de un archivo map en su registro npm!
Código: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8– Chaofan Shou (@Fried_rice) 31 de marzo de 2026
Según las observaciones realizadas por la comunidad, el volumen de código expuesto supera las 512.000 líneas. Estos archivos revelan los mecanismos de funcionamiento del asistente de programación, así como funcionalidades internas no documentadas. Entre los elementos descubiertos figuran componentes vinculados a un planteamiento de comportamiento del agente similar al de Tamagotchi, así como especificaciones para un agente que funcione en modo «always-on», descubrimientos que subrayan la amplitud del trabajo de investigación y desarrollo realizado por Anthropic sobre la interacción hombre-máquina.
Anthropic confirma que la filtración fue causada por humanos y descarta cualquier riesgo para los datos de los clientes
En un comunicado oficial remitido a los medios de comunicación esta mañana, un portavoz de Anthropic reconoció la responsabilidad de la empresa en la exposición. El incidente se describe oficialmente como un problema de empaquetado causado por un error humano, y no como un ataque malintencionado a los servidores de la empresa. La empresa quiere señalar que sus sistemas de seguridad internos no fueron violados y que en el proceso no se expusieron credenciales de acceso ni información confidencial de los clientes.
La capacidad de reacción de la empresa pretende limitar las preocupaciones de los usuarios y desarrolladores que utilizan Claude Code en sus entornos de producción. Aunque el código fuente en sí es propiedad intelectual sensible, la ausencia de filtración de datos personales o secretos de acceso a las infraestructuras en la nube de la empresa es el punto crítico del mensaje de crisis emitido por Anthropic. La corrección de este error de empaquetado está en el centro de las prioridades técnicas del día para restaurar la integridad de la distribución en NPM.
El sector del software, en el punto de mira tras el ataque a la cadena de suministro del paquete Axios
La filtración accidental de Anthropic se produce en un momento en que la seguridad del ecosistema NPM está recibiendo especial atención por parte de los analistas de ciberseguridad. El Threat Intelligence Group de Google ha atribuido formalmente el reciente compromiso del paquete Axios a un grupo de ciberatacantes norcoreanos identificados con el número UNC1069. Este ataque mediante el envenenamiento de la cadena de suministro es un recordatorio de los grandes riesgos que pesan sobre los desarrolladores que utilizan bibliotecas de terceros.
A diferencia del error antrópico, el incidente UNC1069 demuestra un deseo deliberado de causar daño a través de una motivación financiera. John Hultquist, analista principal del grupo de Inteligencia sobre Amenazas de Google, señaló que las actividades de este grupo están estrechamente relacionadas con los sofisticados métodos de infiltración observados recientemente. Esta correlación temporal aumenta la presión sobre los gestores de plataformas como NPM para que refuercen los procesos de validación de paquetes, con el fin de diferenciar entre errores técnicos internos e intrusiones delictivas selectivas.
Implicaciones a largo plazo del desarrollo de agentes autónomos para la transparencia
El descubrimiento del código fuente de Claude Code, aunque accidental, proporciona una visión sin precedentes de la estrategia de producto de Anthropic. Las funciones de compañero virtual inspiradas en Tamagotchi y los agentes persistentes integrados sugieren un avance hacia asistentes de codificación más autónomos. Esta filtración ha obligado a la empresa a revisar su comunicación sobre futuros desarrollos.
Los expertos en la materia creen que la exposición de esta base de código de 512.000 líneas podría acelerar el análisis competitivo por parte de otros actores del sector de la IA.
