Un simple error de empaquetado se convirtió en una exposición pública de uno de los programas de codificación de IA más populares. El 31 de marzo, Anthropic lanzó la versión 2.1.88 de su paquete npm @anthropic-ai/claude-code con algo que definitivamente no pretendía incluir: un archivo de mapa de origen de 59.8 MB que contiene el código fuente completo de la interfaz de línea de comandos de la herramienta.
Cómo 512,000 líneas terminaron en GitHub
El investigador de seguridad Chaofan Shou fue el primero en detectar el archivo expuesto, publicando al respecto en X con un enlace al contenido (ya eliminado). A partir de ahí, el código se movió rápido. La base de código completa aterrizó en un repositorio público de GitHub y fue bifurcada decenas de miles de veces en cuestión de horas. En ese momento, el secreto ya no era tal.
El paquete filtrado contiene casi 2,000 archivos TypeScript y más de 512,000 líneas de código. Esto no es un pequeño desliz. Es el CLI fuente completo, a la vista de cualquiera lo suficientemente curioso como para desarmarlo.
Peligro
El código filtrado cubre solo el CLI de Claude Code, no los modelos de IA subyacentes en sí. Anthropic confirmó que no se expusieron datos confidenciales de clientes ni credenciales en el incidente.
Anthropic actuó rápidamente con una declaración oficial, entregada a múltiples medios: "Hoy temprano, una versión de Claude Code incluyó algo de código fuente interno. No se involucraron ni expusieron datos confidenciales de clientes ni credenciales. Fue un problema de empaquetado de lanzamiento causado por un error humano, no una brecha de seguridad. Estamos implementando medidas para evitar que esto vuelva a suceder".
Lo que los investigadores encontraron dentro
He aquí el asunto: una vez que el código como este se vuelve público, la gente lo lee. Rápido. Horas después de la filtración, los desarrolladores ya estaban analizando el código y publicando sus hallazgos. Una observación ampliamente difundida describió un sistema de memoria de tres capas "increíblemente bien diseñado", al que el código aparentemente se refiere como "memoria autorreparable". Ese es exactamente el tipo de detalle arquitectónico que Anthropic preferiría mantener interno.
La imagen de seguridad más amplia vale la pena prestarle atención. Según un desglose detallado de VentureBeat, los analistas de seguridad ya han mapeado múltiples rutas de ataque que el código expuesto permite, incluidos riesgos en la cadena de suministro y oportunidades de typosquatting donde los actores maliciosos podrían publicar paquetes maliciosos que imitan el real.
Claude Code CLI en acción
El momento hace que esto sea más difícil de ignorar
Esta es la segunda exposición de datos reportada de Anthropic en una sola semana. Días antes, una filtración separada reveló la existencia de un modelo no lanzado con el nombre en clave Mythos, descrito como un avance significativo en capacidades. Dos incidentes consecutivos en un mercado que se vuelve más competitivo mes a mes no dan una buena imagen, independientemente de cómo Anthropic enmarque cualquiera de ellos.
Para ser justos, la distinción es importante: el código fuente del CLI no son pesos del modelo, datos de entrenamiento o información del usuario. Los desarrolladores que construyen sobre Claude Code no están directamente en riesgo aquí. Pero como informó The Hacker News, el ángulo de la cadena de suministro es real. Cuando el código fuente de una herramienta de desarrollador ampliamente utilizada está libremente disponible y ya se ha bifurcado a gran escala, la ventana para que alguien cree un paquete de apariencia convincente se abre considerablemente.
Lo que esto significa para los desarrolladores que usan Claude Code
Para cualquiera que use activamente Claude Code en su flujo de trabajo, el riesgo práctico inmediato es bajo. No hay claves API, ni datos de usuario, ni internos del modelo. Lo que querrá hacer es estar atento a cualquier paquete npm no oficial o de terceros que afirme ser Claude Code o herramientas adyacentes, ya que el código filtrado facilita la creación de falsificaciones convincentes.
La clave aquí es que Anthropic ha confirmado que está implementando cambios en el proceso de empaquetado para evitar que se repita. Si esas medidas son retroactivas a los repositorios ya bifurcados es una pregunta completamente separada. Para obtener lo último sobre herramientas de desarrollador de IA y cómo incidentes como este afectan el ecosistema de desarrollo más amplio, asegúrese de consultar más:
