Fuga de código de Claude Code: implicaciones para la ingeniería

El 31 de marzo de 2026, un error en el empaquetado de Anthropic provocó la filtración accidental del código fuente de su herramienta Claude Code a un registro público npm. La fuga, que incluyó un archivo de mapa de origen de 59.8 MB, reveló detalles sobre mecanismos anti-distilación, características no lanzadas y un modo autónomo llamado KAIROS. Si bien la filtración no viola directamente el Acta de IA de la UE (al ser una herramienta de desarrollo, no un sistema de IA de alto riesgo), plantea interrogantes sobre las prácticas de ingeniería de Anthropic, especialmente considerando que la herramienta generó mil millones de dólares en ingresos en seis meses y es utilizada por empresas como Netflix y Salesforce.

Un aspecto preocupante es el 'Modo Undercover', diseñado para que los empleados de Anthropic eliminen la atribución de IA del código, una práctica que contrasta con la atribución de IA que Claude Code exige a sus clientes. Además, la base de código carece de pruebas automatizadas y reveló un error que desperdiciaba cientos de miles de llamadas a la API al día. Aunque esto no genera obligaciones regulatorias directas para los usuarios de Claude Code, sí es un punto a considerar en la evaluación de proveedores, ya que revela la priorización de la conveniencia sobre la transparencia. La filtración subraya la importancia de la debida diligencia y la evaluación de riesgos en la cadena de suministro de software, incluso para herramientas utilizadas en procesos de desarrollo.