1,902 archivos. 512,000 lineas. Un source map que nadie excluyó del build.
Anthropic filtró el código fuente completo de Claude Code — su agente de coding más avanzado — porque dejaron un cli.js.map de 60MB en el paquete npm de producción. El archivo apuntaba a un bucket de Cloudflare R2 público con todo el directorio src/. Cualquiera podía descargarlo como un zip.
No fue un ataque. No fue un insider. Fue un .npmignore incompleto.
Hace cinco días cubrimos cómo Anthropic filtró Mythos por un CMS mal configurado. Hoy lo hicieron de nuevo. Diferente sistema, mismo patrón: configuración por defecto en producción. La empresa que construye herramientas autónomas de ciberseguridad no puede configurar sus propios builds.
Y lo peor: ya les había pasado. En febrero de 2025, el mismo error — source maps en producción — fue descubierto y corregido. Catorce meses después, volvió.
El descubrimiento
Chaofan Shou (@Fried_rice), investigador de Fuzzland, encontró que @anthropic-ai/claude-code@2.1.88 incluía un archivo cli.js.map de ~60MB. Los source maps son archivos de debug que contienen el código fuente original completo — TypeScript sin minificar, con comentarios, con nombres de variables legibles. Existen para debugging en desarrollo. No deberían estar en producción.
El tweet tiene más de 11,000 likes y 4 millones de views en pocas horas. Los mirrors en GitHub ya acumulan miles de estrellas.
Qué se filtró
Todo el cliente CLI. No pesos del modelo, no datos de usuarios, no el core del LLM. Pero sí la arquitectura completa del agente de coding que Anthropic posiciona como su producto estrella:
src/tools/— más de 40 herramientas (Bash, FileEdit, LSP, MCP, WebSearch, ComputerUse)src/commands/— todos los slash commands (/commit, /doctor, /skills, /review-pr)- Sistema de permisos con ML auto-approve
- Telemetría completa (OpenTelemetry + gRPC)
- Feature flags (GrowthBook)
- Bridge IDE (VS Code, JetBrains)
- Sistema de prompts modular, coordinator multi-agente, memory management
El código es 100% navegable. Cualquiera puede leer cómo funciona cada herramienta, cómo se orquestan los agentes, cómo se gestionan los permisos. Un archivo en particular — src/cli/print.ts — tiene 3,167 líneas con 12 niveles de nesting y ~486 de complejidad ciclomática. Hacker News lo describió como "vibe coded." La arquitectura del agente de coding más avanzado del mercado, escrita como si fuera un side project de fin de semana.
Lo que no estaba anunciado
El código expone features gated behind flags que Anthropic no había publicado:
Kairos — modo daemon autónomo. Monitorea actividad del usuario, ejecuta sesiones en background, consolida memoria, y actúa sin instrucción explícita. El agente proactivo que decide por sí mismo cuándo intervenir.
AutoDream — sub-agente de consolidación de memoria. Cada 24 horas o cada 5 sesiones ejecuta un ciclo de orient → gather → consolidate → prune. Lee el historial completo y lo reorganiza para optimizar sesiones futuras. El modelo literalmente "sueña" con tu código.
Buddy — mascota Tamagotchi interna. 18 especies, variantes shiny con 1% de probabilidad, stats procedurales, personalidad generada por IA. Lanzamiento previsto: mayo 2026. No es un chiste. Está en el código.
UltraPlan — planning remoto que envía tareas pesadas a un contenedor cloud con Opus 4.6 por hasta 30 minutos.
Coordinator Mode — orquestador multi-agente que spawnea workers paralelos (swarms).
Undercover Mode — sistema interno que previene que empleados de Anthropic filtren información propietaria en contribuciones open-source.
Anti-Distillation — inyecta definiciones de herramientas señuelo para envenenar intentos de destilar el modelo. Protección contra clones — también filtrada.
La ironía de Undercover Mode es imposible de ignorar: un sistema diseñado para prevenir filtraciones, descubierto gracias a una filtración.
El patrón que se repite
Esto no es un incidente aislado. Es un patrón.
Febrero 2025: Source maps de Claude Code aparecen en el paquete npm. Anthropic lo corrige quitando el archivo. Problema resuelto.
Marzo 26, 2026: Anthropic filtra ~3,000 archivos internos — incluyendo el borrador de Mythos — por un CMS configurado como público por defecto. Lo cubrimos acá.
Marzo 31, 2026: Source maps de Claude Code aparecen en el paquete npm. De nuevo. Catorce meses después. El mismo error.
Tres filtraciones en catorce meses. Dos del mismo tipo exacto. La empresa que dice estar construyendo "el modelo de IA más poderoso jamás desarrollado" no tiene un pipeline de CI/CD que verifique si los archivos de debug están excluidos del build de producción.
Un grep -r "sourceMappingURL" dist/ en el pipeline habría prevenido todo. Un check de tamaño de archivo (cli.js.map pesa 60MB — difícil de ignorar) habría sido suficiente. No hicieron ninguno.
La pregunta incómoda
El código filtrado revela la arquitectura interna de uno de los agentes de coding más avanzados del mercado. Competidores como Cursor, Windsurf, Cline, y Aider ahora pueden estudiar exactamente cómo Anthropic orquesta herramientas, gestiona permisos, implementa memoria, y coordina multi-agentes.
¿Es un riesgo de seguridad para usuarios? No. No hay claves, tokens, ni datos personales en el source map.
¿Es un riesgo competitivo para Anthropic? Absolutamente. La arquitectura ya no es propietaria. Los patrones de diseño, los nombres internos de features, el roadmap implícito en los feature flags — todo es público.
¿Es vergonzoso? Pregúntale a Undercover Mode.
La teoría que nadie quiere considerar
Hay un escenario alternativo que merece consideración. No lo estamos afirmando. Solo estamos preguntando.
¿Y si fue intencional?
Anthropic tiene acceso a Opus 4.6 — el modelo que, según el código filtrado, escribió gran parte de Claude Code. ¿Qué pasaría si alguien en Anthropic le preguntó a Opus: "¿cuál sería la forma más inconspicua de filtrar el código fuente de Claude Code?"
La respuesta obvia: un source map en el paquete npm. Un error que ya había ocurrido antes. Un error que cualquier equipo de ingeniería competente cometería. Un error que nadie cuestionaría como intencional.
Piénsalo: hace cinco días filtraron Mythos — el modelo que Anthropic describe como "un cambio de nivel" en capacidades. Cinco días después, filtran el código fuente completo del agente construido por el modelo anterior. La secuencia es conveniente.
Primero generás la conversación sobre el modelo nuevo. Después filtrás la arquitectura del producto viejo para que todo el mundo la estudie, la critique, la llame "vibe coded." Y cuando la atención global está en su punto máximo — cuando cada ingeniero del planeta está leyendo tu código y cada competidor está copiando tu arquitectura — anunciás la nueva versión. "Claude Code, ahora construido por Mythos."
El producto viejo se vuelve marketing gratuito. La filtración se vuelve un launch event. Las críticas al código "desordenado" de Opus se convierten en el contraste perfecto para la versión "limpia" de Mythos.
¿Es posible? Absolutamente. Anthropic tiene los modelos capaces de diseñar una estrategia de marketing que parezca un error de ingeniería. Y el patrón de "errores" consecutivos — cada uno exponiendo exactamente la pieza que maximiza la atención — es difícil de atribuir exclusivamente a incompetencia.
¿Lo estamos afirmando? No. Pero tampoco vamos a fingir que no lo pensamos.
La empresa que construye el agente que escribe tu código no puede configurar su propio .npmignore.
La empresa que diseñó un sistema anti-filtraciones lo filtró.
La empresa que corrigió este error hace catorce meses lo repitió.
cli.js.map pesaba 60 megabytes. Nadie lo notó hasta que un investigador externo lo abrió.
Sesenta megabytes de código fuente, empaquetados en producción, apuntando a un bucket público.
Paila.