Filtración del Código Fuente de Anthropic 2026: Código de Claude Code CLI Expuesto por Error en Source Map de npm

Anthropic envió accidentalmente el código fuente completo de su CLI Claude Code dentro de un paquete público de npm. Esto expuso aproximadamente 512,000 líneas de TypeScript a cualquiera que prestara atención.

La compañía confirmó el incidente el 31 de marzo de 2026, atribuyéndolo a un error humano en el proceso de empaquetado. La versión 2.1.88 incluyó un archivo source map de 59.8 MB que apuntaba a un archivo zip accesible públicamente en un bucket de almacenamiento de Cloudflare de Anthropic.

El investigador de seguridad Chaofan Shou, de la firma Fuzzland, detectó el problema y publicó el enlace. Repositorios espejo aparecieron en GitHub, acumulando decenas de miles de estrellas antes de las solicitudes de retirada DMCA de Anthropic.

El código reveló funciones no lanzadas como KAIROS, un daemon en segundo plano, y BUDDY, una mascota de terminal con 18 especies. También se expusieron modos para gestionar agentes paralelos y sesiones de planificación multi-agente.

Anthropic declaró que el incidente no involucró datos sensibles de clientes, credenciales o pesos de los modelos. Este es el segundo error de este tipo, tras una filtración casi idéntica en febrero de 2025.

El incidente ocurrió junto a un ataque a la cadena de suministro en el paquete npm de axios. Anthropic recomienda a los desarrolladores que instalaron Claude Code durante esa ventana que auditen sus dependencias y roten credenciales.