El error que Anthropic quisiera borrar sucedió en segundos pero sus consecuencias seguirán resonando por meses. El pasado 31 de marzo, la compañía lanzó una actualización rutinaria de Claude Code, su herramienta de programación por línea de comandos, pero un error de configuración en el archivo de limpieza del paquete incluyó algo que jamás debería haber visto la luz pública: un archivo de 60 megabytes con casi 1.900 archivos y más de 500.000 líneas de código TypeScript. Básicamente, todo el esqueleto de uno de sus productos más sensibles quedó expuesto.

El investigador de seguridad Chaofan Shou lo detectó en cuestión de minutos y publicó el hallazgo en X. Para cuando Anthropic se dio cuenta y removió la versión problemática, era demasiado tarde. El código ya había sido descargado y replicado en todo el mundo. La empresa envió avisos DMCA a GitHub y otras plataformas pidiendo que retiraran los repositorios comprometidos, pero tapar un agujero cuando el agua ya está afuera es casi imposible.

Lo que salió a la luz fue mucho más que solo lineas de código. La filtración expuso cómo funciona internamente Claude Code: incluyendo un sistema de memoria de tres capas que verifica hechos cada vez que recibe una instrucción, un modo autónomo llamado Kairos que corre en segundo plano, y detalles de la hoja de ruta futura de Anthropic con nombres de versiones en desarrollo como Capibara, Fennec y Numbat. Anthropic reconoció el incidente en un comunicado y lo atribuyó a error humano, aclarando que no se expusieron credenciales ni datos de clientes, pero esa aclaración poco consuela.

Los especialistas en seguridad ven el problema de manera diferente. ESET identificó tres riesgos concretos que van más allá del código robado. Primero: fin de la caja negra. Con el código disponible, cualquiera puede analizar exactamente cómo Claude filtra comandos y decide qué es seguro ejecutar, lo que facilita crear instrucciones para saltarse esas protecciones. Segundo: riesgo en la cadena de suministro. Ahora es fácil construir clones maliciosos que instalen puertas traseras sin que el usuario lo note. Tercero: las funciones no lanzadas públicamente como el Modo Proactivo y Modo Sueño quedan expuestas para que la competencia las estudie antes del lanzamiento.

El riesgo teórico se convirtió en real muy rápido. Investigadores de Zscaler documentaron cómo GitHub se llenó de repositorios falsos que usaban el código filtrado como cebo para atraer desarrolladores. Uno de ellos, creado por un usuario llamado idbzoomh, prometía acceso sin restricciones a funciones empresariales de Claude. Lo que realmente entregaba era un archivo comprimido con Vidar, un programa para robar información, y GhostSocks, un malware que redirige el tráfico a través de dispositivos comprometidos para ocultar el origen del ataque. "Los cibercriminales actúan con rapidez para sacar provecho de un incidente que se hace público", advirtieron desde Zscaler. "Esta celeridad aumenta la probabilidad de sufrir una intrusión oportunista, especialmente a través de repositorios infectados con troyanos".

La lección quedó clara: cuando algo sensible se filtra en internet, los minutos que pasan antes de contenerlo son críticos. Y en este caso, Anthropic no tuvo esos minutos.