El investigador de seguridad Chaofan Shou lo detectó en cuestión de minutos y lo publicó en la red social X.
Antes de que Anthropic pudiera retirar la versión, el código ya se había descargado y replicado globalmente. La empresa eliminó el paquete y lanzó una ofensiva legal enviando avisos DMCA a GitHub y otras plataformas para retirar los repositorios que habían replicado el código, pero ese intento por arreglar la situación llegó tarde.
Más tarde, se supo que la filtración iba más allá de líneas de código. El archivo expuso la arquitectura interna de Claude Code, incluyendo un sistema de memoria de tres capas que obliga al agente a verificar hechos en el código fuente cada vez que recibe una instrucción. También dejó al descubierto referencias a un modo autónomo llamado Kairos, que opera en segundo plano para mantener limpio el contexto del agente, y detalles de la hoja de ruta interna de la compañía: una variante de Claude 4.6 conocida internamente como Capibara, Opus 4.6 bajo el nombre Fennec y un modelo en desarrollo llamado Numbat.
En un comunicado, Anthropic reconoció el incidente y lo atribuyó a un error humano, no a una brecha de ciberseguridad, aclarando también que no se expusieron datos ni credenciales de sus clientes.
Pero investigadores de seguridad advirtieron que las consecuencias van más allá de la propiedad intelectual comprometida.
Por ejemplo, la empresa de ciberseguridad ESET señaló tres riesgos concretos. El primero es el fin de la llamada caja negra: con el código disponible, es posible analizar exactamente cómo Claude filtra los comandos y decide qué es seguro ejecutar, lo que facilita la creación de instrucciones diseñadas para eludir esas protecciones.
El segundo es el riesgo para la cadena de suministro: con el código original en circulación, resulta sencillo construir clones maliciosos del programa que instalen puertas traseras sin que el usuario lo advierta.
Finalmente, advirtieron también sobre la exposición de funciones aún no lanzadas públicamente, como el Modo Proactivo y el Modo Sueño, que la competencia puede analizar antes de que lleguen al mercado.
Lea también: Nuevo choque por IA y derechos de autor: editorial alemana demanda a OpenAI
Este último riesgo se materializó con rapidez. Investigadores de la firma Zscaler documentaron cómo GitHub se llenó de repositorios maliciosos que usaban el código filtrado como señuelo para atraer a desarrolladores curiosos. Uno de ellos, publicado por un usuario identificado como idbzoomh, prometía acceso a funciones empresariales de Claude sin restricciones.
La realidad es que incluía un archivo comprimido que instalaba Vidar, un programa diseñado para robar información, y GhostSocks, un malware que redirige el tráfico a través de dispositivos comprometidos para ocultar el origen del ataque.
“Los cibercriminales actúan con rapidez para sacar provecho de un incidente que se hace público", advirtieron desde Zscaler. “Esta celeridad aumenta la probabilidad de sufrir una intrusión oportunista, especialmente a través de repositorios infectados con troyanos".
Regístrate al newsletter