El 31 de marzo de 2026, el mundo del desarrollo de software asistido por IA se estremeció con la noticia de la filtración del código fuente completo de Claude Code, el agente CLI de Anthropic. Nuevos hallazgos revelan que la causa fue un archivo source map de 59.8 MB incluido en el paquete npm @anthropic-ai/claude-code versión 2.1.88, exponiendo más de 300.000 líneas de código TypeScript.

Detalles Técnicos del Incidente

La filtración no fue consecuencia de un ataque externo, sino de un error humano en el proceso de empaquetado. El archivo .map, destinado a depuración interna, conectaba el código minificado con el código fuente original, revelando toda la anatomía de Claude Code.

Cronología del incidente:
– 00:21 UTC: Publicación del paquete npm 2.1.88 con source map incluido
– 03:29 UTC: Descubrimiento por el investigador Chaofan Shou (@Fried_rice)
– Primeras 3 horas: Más de 50.000 forks del código en GitHub
– 31 de marzo: Anthropic retira el paquete y publica versión corregida 2.1.89
– 1 de abril: Lanzamiento de /buddy como estaba previsto, confirmando la veracidad del código filtrado

Arquitectura Interna de Claude Code Revelada

No es un CLI, es una Plataforma Completa

El código filtrado revela que Claude Code es mucho más que un wrapper sobre la API de Anthropic:

• Aplicación React completa que se ejecuta en la terminal
• Motor de renderizado propio con soporte flexbox (port de Yoga de Meta)
• 146 componentes React para interfaz de terminal
• 87 hooks de React para permisos, atajos de teclado e integraciones
• ~45 herramientas y ~70 comandos slash

Sistema de Herramientas y Permisos Duales

// Ejemplo del sistema de Tool Registry basado en el código filtrado
export class ToolRegistry {
  private tools: Map<string, Tool> = new Map();

  registerTool(tool: Tool): void {
    // Validación de permisos duales: usuario y agente
    if (!this.validateDualPermissions(tool)) {
      throw new Error(`Tool ${tool.name} failed dual permission validation`);
    }
    // ... implementación
  }

  private validateDualPermissions(tool: Tool): boolean {
    const userPermissions = this.evaluateUserPermissions(tool);
    const agentPermissions = this.evaluateAgentPermissions(tool);
    return userPermissions.allowed && agentPermissions.allowed;
  }
}

Hallazgos Más Sorprendentes del Código Filtrado

1. Buddy: El Tamagotchi que Confirmó la Filtración

Uno de los descubrimientos más inesperados fue el sistema «Buddy», una mascota virtual estilo Tamagotchi:

• 18 especies posibles: duck, goose, blob, cat, dragon, octopus, owl, penguin, turtle, snail, ghost, axolotl, capybara, cactus, robot, rabbit, mushroom, «chonk»
• Sistema de rareza: Common (60%), Uncommon (25%), Rare (10%), Epic (4%), Legendary (1%), con 1% adicional de shiny
• Generación determinística: Basada en hash del ID de usuario
• Lanzamiento confirmado: Anthropic lanzó /buddy el 1 de abril como estaba previsto

2. Undercover Mode: La Ironía de la Seguridad

Dentro del código filtrado existe un sistema completo llamado «Undercover Mode» diseñado para evitar filtraciones:

• Activación automática para empleados de Anthropic (USER_TYPE === ‘ant’)
• Elimina atribución a Claude Code en commits públicos
• Bloquea nombres en clave internos como «Capybara», «Tengu», «Fennec»
• Ironía: El sistema diseñado para evitar filtraciones se filtró completo

3. Gestión de Contexto: Cinco Estrategias en Cascada

Claude Code implementa un sistema sofisticado para manejar conversaciones largas:

1. Microcompact temporal: Limpia resultados antiguos después de 60 minutos
2. Microcompact con caché: Usa cache_edits de la API de Anthropic
3. Compactación con memoria de sesión: Reutiliza archivos de resumen existentes
4. Compactación completa: Envía conversación a Claude con prompt estructurado
5. Microcompact vía API: Experimental, elimina bloques de pensamiento

4. Arquitectura Multi-Agente Revelada

El código incluye cuatro mecanismos de orquestación:

• Subagentes: Procesos hijos autónomos
• Fork agents: Clonan contexto completo del padre
• Teams/teammates: Equipos con sistema de buzones
• Coordinator Mode: Supervisor que solo orquesta, no ejecuta

Tres niveles de aislamiento:
– In-process (AsyncLocalStorage)
– Git worktree (copias temporales en ~/.claude/worktrees/)
– Remoto (Cloud Container Runtime)

Feature Flags No Anunciados y Roadmap Expuesto

Kairos: El Asistente que Nunca Duerme

• Daemon autónomo con logs diarios append-only
• Herramientas exclusivas: SendUserFile, PushNotification, SubscribePR
• «Brief Mode» para respuestas proactivas
• Bloqueo máximo de 15 segundos

UltraPlan: Planificación Remota a Gran Escala

• Sesión interactiva en navegador vía Cloud Container Runtime
• Hasta 30 minutos de tiempo de ejecución con Opus 4.6
• «Teletransporte» de resultados a terminal

AutoMode: Clasificador de Seguridad Basado en IA

• Evalúa si acciones son seguras (allow, soft_deny, environment)
• Diálogo de opt-in revisado por equipo legal de Anthropic
• IA que usa otra IA para decidir seguridad de sus propias acciones

Lecciones de Seguridad Ampliadas

Configuración Crítica de Bundlers

Webpack para paquetes públicos:

// CONFIGURACIÓN CORRECTA
module.exports = {
  mode: 'production',
  devtool: false, // CRÍTICO: Deshabilitar source maps
  optimization: {
    minimize: true,
    minimizer: [
      new TerserPlugin({
        terserOptions: {
          sourceMap: false // No generar source map
        },
        exclude: /\.map$/ // Excluir archivos .map
      })
    ]
  }
};

Mejores Prácticas para npm

1. .npmignore esencial:

src/
*.map
*.ts
config/
tests/
secrets/

1. Validación pre-publicación:

npm pack --dry-run  # Verificar contenido del paquete
npm-packlist        # Auditar qué archivos se incluirán

1. CI/CD segura:
2. Verificar que no hay source maps en builds de producción
3. Escanear paquetes para detectar credenciales
4. Usar environments separados para desarrollo/producción

Reacción de Anthropic y Cultura de Errores

Declaración oficial de Anthropic:

«Hoy temprano, una versión de Claude Code incluyó algo de código fuente interno. No se involucraron ni expusieron datos o credenciales confidenciales del cliente. Este fue un problema de empaquetado de la versión causado por un error humano, no una violación de seguridad. Estamos implementando medidas para evitar que esto vuelva a suceder.»

Tweet de Boris Cherny, ingeniero de Claude Code:

«Los errores suceden. Como equipo, lo importante es reconocer que nunca es la culpa de un individuo — es el proceso, la cultura o la infraestructura.»

Conclusiones Estratégicas

Para Desarrolladores

1. Audita tus paquetes npm antes de cada publicación
2. Nunca incluyas source maps en paquetes públicos
3. Implementa validación automática en tu pipeline CI/CD
4. Considera la ofuscación para código con lógica sensible

Para Empresas de IA

1. La seguridad operativa debe ser parte integral del proceso de desarrollo
2. Los errores humanos son inevitables; enfócate en procesos resilientes
3. La transparencia en la respuesta a incidentes construye confianza
4. La arquitectura multi-agente es el futuro, pero requiere nuevas consideraciones de seguridad

Para la Industria

Esta filtración marca un punto de inflexión en la madurez de las herramientas de IA para desarrollo. Revela que:
– Las herramientas más avanzadas son plataformas complejas, no simples wrappers
– La seguridad debe evolucionar junto con las capacidades
– La comunidad de código abierto puede tanto ayudar como exponer vulnerabilidades