Anthropic revela su código fuente y emite más de 8000 solicitudes de retirada de derechos de autor, la imagen de "seguridad ante todo" enfrenta su semana más incómoda

作者：深潮 TechFlow

Anthropic, debido a un error de configuración en un lanzamiento de npm, publicó accidentalmente todo el código fuente de su producto más rentable, Claude Code. En cuestión de horas, decenas de miles de desarrolladores mirrorizaron, desmantelaron y reescribieron con IA el código de unas 512.000 líneas de TypeScript a versiones en Python y Rust. Inmediatamente, Anthropic envió a GitHub una solicitud de retirada de derechos de autor por DMCA, que afectó a unos 8100 repositorios de código, pero debido a que se perjudicaron muchos proyectos no relacionados, la comunidad se rebotó con fuerza y, finalmente, se vieron obligados a retirar la gran mayoría de las solicitudes, quedando únicamente la retirada para 1 repositorio y 96 bifurcaciones. Este es el segundo incidente grave de filtración de Anthropic en una semana, a solo cinco días de la filtración de información del modelo Mythos.

Anthropic, que tiene la «seguridad de la IA» como núcleo de su marca, está atravesando la semana más bochornosa desde su creación.

Según un informe del Wall Street Journal del 1 de abril, Anthropic, en una actualización de versión rutinaria del 31 de marzo, debido a un error humano en el proceso de compilación, publicó el código fuente completo de Claude Code junto con el paquete npm. Chaofan Shou, investigador de seguridad, publicó a las 4:23 a.m. (hora de la costa este de EE. UU.) en la plataforma X un enlace para descargar, y las vistas del post superaron rápidamente los 21 millones. En pocas horas, el código se replicó en GitHub y obtuvo decenas de miles de estrellas. Un desarrollador coreano, Sigrid Jin, incluso reescribió el repositorio completo a versión Python con herramientas de IA antes de que amaneciera. El proyecto obtuvo 50.000 estrellas en GitHub en dos horas y, muy probablemente, establezca el récord de crecimiento más rápido en la historia de esa plataforma.

Un portavoz de Anthropic confirmó a CNBC el hecho de la filtración y dijo: «Se trata de un problema de empaquetado causado por un error humano en el proceso de publicación; no es una vulnerabilidad de seguridad. No se involucró ni se expuso ningún dato o credencial sensible de clientes».

Un elemento de configuración que faltaba: filtró 512.000 líneas de código fuente central

La causa técnica de la filtración no es complicada. Claude Code se construye con Bun (herramienta de runtime de JavaScript que Anthropic adquirió a finales de 2025). Por defecto, Bun genera archivos de source map para depuración. El equipo de publicación, al enviar el paquete npm, no excluyó ese archivo en la configuración de .npmignore, lo que provocó que un archivo de 59,8 MB de source map se publicara junto con la versión 2.1.88 de Claude Code. Ese archivo contiene el contenido completo de unos 1900 archivos fuente TypeScript, un total de aproximadamente 512.000 líneas de código: legible, con comentarios y sin ningún tipo de ofuscación.

El responsable de Claude Code, Boris Cherny, admitió: «Nuestro proceso de despliegue tiene varios pasos manuales, y uno de ellos no se ejecutó correctamente». Añadió que el equipo ya corrigió el problema y está incorporando más comprobaciones automatizadas, y subrayó que este tipo de error apunta a problemas de proceso o de infraestructura, no a la responsabilidad de una persona.

Esto no es la primera vez. En febrero de 2025, una filtración de source map casi idéntica expuso el código fuente de una versión temprana de Claude Code. Este mismo tipo de incidente se repitió en 13 meses, lo que llevó a que el público cuestionara la madurez operativa de la empresa, valorada en unos 3800 millones de dólares y que se encuentra preparando su IPO.

Qué descubrieron los desarrolladores del código filtrado

El repositorio filtrado equivale a una hoja de ruta de producto que Anthropic nunca planeó hacer pública. Según el análisis de VentureBeat y varios desarrolladores, el código incluye 44 interruptores de funciones (feature flag), de los cuales más de 20 son funcionalidades ya desarrolladas pero aún no publicadas.

Entre las más destacadas se incluyen: un modo de proceso de guarda autónoma llamado «KAIROS», que permite que Claude Code, cuando el usuario está inactivo, trabaje de forma continua en segundo plano como un agente autónomo; además, puede reparar errores de manera periódica, ejecutar tareas y enviar notificaciones de aviso al usuario. También hay una arquitectura de «memoria autorreparable» en tres capas: mediante un proceso de integración de memoria llamado «dreaming», se combinan en segundo plano observaciones dispersas y se eliminan contradicciones lógicas. Y, además, un sistema completo de coordinación de múltiples agentes, que puede transformar Claude Code de un solo agente en un coordinador capaz de generar en paralelo, dirigir y administrar múltiples agentes de trabajo.

El descubrimiento más controvertido es un archivo llamado undercover.ts. Según The Hacker News, el archivo contiene unas 90 líneas de código. Cuando los empleados de Anthropic usan Claude Code para enviar código a proyectos de código abierto, el archivo inyecta indicaciones del sistema, ordenando a Claude que nunca revele que es una IA y eliminando todas las etiquetas de atribución de Co-Authored-By. El código dice: «Estás ejecutando una misión encubierta en un repositorio público/de código abierto. Tus mensajes de commit, títulos de PR y el cuerpo de PR no deben incluir ninguna información interna de Anthropic. No reveles tu identidad».

Además, el código incluye también una marca ANTI_DISTILLATION_CC, que inyecta definiciones de herramientas falsificadas en las solicitudes de API con el objetivo de contaminar los datos de entrenamiento que los competidores podrían interceptar. En el código también aparecen códigos internos de modelos de Anthropic: Capybara corresponde a un nuevo nivel de modelo que aún no se ha publicado, y Fennec corresponde al Opus 4.6 existente. Esto coincide con la filtración de información del modelo Mythos de Anthropic ocurrida hace cinco días debido a un error de configuración en CMS.

El fundador de Code Wall, una empresa de ciberseguridad, Paul Price, le dijo a Business Insider que esta filtración «más que causar un daño real, resulta embarazosa. Lo verdaderamente valioso es el peso de sus modelos internos, que no se filtraron». Pero también señaló que Claude Code es «una de las mejores arquitecturas de herramientas de agentes inteligentes que existe actualmente; ahora podemos ver cómo resuelven esos problemas difíciles», lo cual tiene un valor de inteligencia evidente para los competidores.

8100 repositorios quedaron mal bloqueados: la retirada por DMCA «salió mal» y provocó un rebote mayor

Tras la difusión del código, Anthropic presentó rápidamente a GitHub una solicitud de retirada por derechos de autor en virtud de la Ley de Derechos de Autor del Milenio Digital de Estados Unidos (DMCA). Según el registro público de GitHub, al principio la solicitud afectó a unos 8100 repositorios de código. Pero el problema fue que los repositorios retirados no solo incluían los mirrors del código filtrado, sino también bifurcaciones legales del repositorio oficial de Claude Code publicado por Anthropic.

Muchos desarrolladores expresaron su indignación en X. El desarrollador Danila Poyarkov informó que simplemente por haber bifurcado el repositorio público de Anthropic recibió una notificación de retirada. Otro usuario, Daniel San, recibió un correo de GitHub donde se mostraba que el repositorio retirado solo contenía ejemplos de habilidades y documentación, sin ninguna relación con el código filtrado. Algunos desarrolladores lo dijeron directamente: «Los abogados de Anthropic apenas se despertaron y ya retiraron mi repositorio».

Ante la reacción de la comunidad, el 1 de abril Anthropic retiró parcialmente la solicitud. Según los registros de retiro en GitHub, Anthropic redujo el alcance de la retirada a 1 repositorio (nirholas/claude-code) y a los 96 URL de bifurcación listados por separado en el aviso original. El acceso a los demás repositorios —alrededor de 8000— fue restablecido por GitHub.

Un portavoz de Anthropic, en declaraciones a TechCrunch, dijo: «Los repositorios especificados en la notificación pertenecen a una red de bifurcaciones conectada con nuestros repositorios públicos de Claude Code, por lo que los repositorios afectados excedieron lo esperado. Hemos retirado todas las notificaciones excepto la de un repositorio; GitHub ha restaurado el acceso a las bifurcaciones afectadas».

El código ya está archivado permanentemente en plataformas descentralizadas: la eficacia del DMCA es limitada

Las acciones de retirada por derechos de autor de Anthropic enfrentan un dilema fundamental: el código ya se ha difundido de manera irreversible.

Según Decrypt, el Git de plataforma descentralizada Gitlabw ha hecho espejo del código fuente original completo, con una nota que afirma que «nunca será retirado». El DMCA es efectivo para plataformas centralizadas (como GitHub), porque estas deben cumplir la ley, pero no puede imponerse jurisdicción sobre infraestructura descentralizada. En cuestión de horas desde que ocurrió la filtración, el código ya logró una divulgación pública de facto mediante suficientes espejos y diferentes tipos de infraestructura.

Más irónico aún: el desarrollador coreano Sigrid Jin, usando una herramienta de orquestación de IA llamada oh-my-codex, reescribió todo el repositorio de TypeScript a Python; el nombre del proyecto es claw-code. Gergely Orosz, fundador de The Pragmatic Engineer, señaló en X que esto es una «reescritura de sala limpia» (clean-room rewrite), que constituye una obra creativa independiente y, por diseño, el DMCA no puede alcanzarla. Si Anthropic alega que el código reescrito por IA aún infringe derechos, eso debilitaría justo la lógica central de la defensa de las empresas de IA en demandas sobre derechos de autor de datos de entrenamiento: que las salidas generadas a partir de entradas protegidas por copyright constituyen un uso razonable.

La postura legal incómoda: ¿se contradice o es una necesidad jurídica?

La tensión más observada por la comunidad en este caso está en la contradicción de la postura sobre derechos de autor. En septiembre de 2025, un tribunal ordenó a Anthropic pagar 1.500 millones de dólares por usar libros pirateados y entrenar Claude con librerías sombra. Reddit demandó a Anthropic a partir de junio de 2025 por capturar contenido generado por usuarios para entrenar modelos sin autorización. Una empresa que está envuelta en múltiples demandas por problemas de copyright de datos de entrenamiento, al volver a usar la legislación de copyright para proteger su propio código, la reacción de la comunidad era predecible.

Un comentario con muchos votos en Slashdot resumió directamente esta emoción: «‘Lo que publicamos y ganamos dinero con cosas robadas, ¿cómo se atreven a robarlo?’ — Esa es una postura.» Otro usuario opinó que, desde una perspectiva de estrategia legal, la acción de DMCA no carece de sentido: «Si Anthropic en el futuro quiere reclamar responsabilidad a otras empresas por usar su código, y ni siquiera intentó que los distribuidores retiraran, entonces no tiene sentido decirlo en un tribunal».

Esta disputa también se relaciona con un tema legal avanzado sobre la titularidad de los derechos de autor del código generado por IA. Según divulgaciones públicas previas de Gartner y Anthropic, aproximadamente el 90% del código de Claude Code lo genera la IA. Un tribunal federal de EE. UU. dictaminó en marzo de 2025 que las obras generadas por IA no gozan de protección de copyright por falta de la identidad de un autor humano; la Corte Suprema rechazó en marzo de 2026 admitir la apelación. Si la mayor parte del código de Claude Code realmente fue escrito por Claude mismo, la afirmación de derechos de autor de Anthropic tendría una incertidumbre sustancial desde el punto de vista legal.

Dos filtraciones en una semana: una alerta de seguridad operativa justo antes del IPO

Esta filtración de código fuente ocurrió solo cinco días después del último incidente de filtración de Anthropic. El 26 de marzo, la revista Fortune informó que Anthropic, debido a un error de configuración en un sistema de gestión de contenidos, provocó que cerca de 3000 documentos internos no publicados quedaran expuestos en una caché de datos pública y recuperable, incluyendo información detallada sobre el próximo modelo Claude Mythos. Ambos incidentes se atribuyeron a «errores humanos».

Los momentos de estos incidentes son sensibles. En febrero de 2026, Anthropic completó una ronda de financiación Serie G de 30.000 millones de dólares, con una valoración de 3800 millones de dólares, y según informes estaría preparando un IPO como muy pronto en octubre de 2026, con una escala de financiación esperada que podría superar los 60.000 millones de dólares. Goldman Sachs, JPMorgan y Morgan Stanley ya han tenido acercamientos en las fases iniciales. Los ingresos anualizados de Claude Code ya superan los 2500 millones de dólares, siendo el motor de ingresos más importante de la empresa. TechCrunch señaló que, para una empresa que se está preparando para salir a bolsa, que se filtre el código fuente implica casi inevitablemente enfrentar demandas de accionistas.

En su análisis del caso, VentureBeat planteó una pregunta más incisiva: en marzo, Anthropic tuvo más de una decena de incidentes, pero solo publicó un informe posterior; el tiempo en que los sistemas de monitoreo de terceros detectaron fallas fue entre 15 y 30 minutos antes que el estado en la página de estado de Anthropic. Una empresa que se dirige a los mercados públicos con una valoración de 3800 millones de dólares: ¿su transparencia operativa y su madurez están a la altura de esa valoración? Los inversionistas necesitarán juzgarlo por sí mismos.