Se Filtró el Código Fuente de Claude Code: KAIROS, Buddy y 44 Features Ocultas

El 31 de marzo de 2026, un investigador de seguridad llamado Chaofan Shou publicó un tweet a las 4:23 AM ET que encendió la comunidad: el paquete npm @anthropic-ai/claude-code había filtrado, por accidente, su código fuente completo. 512,000 líneas de TypeScript sin ofuscar. 1,906 archivos. 59.8 MB de source maps que nunca debían estar ahí.

En horas, el repositorio fue mirroreado en GitHub y forkeado miles de veces. Lo que encontraron adentro cambió la conversación sobre hacia dónde va Claude Code.

No fue un hack. No fue un ataque. Fue un error de packaging —falta de .npmignore para los archivos .map, agravado por un bug de Bun— que expuso involuntariamente la hoja de ruta técnica de uno de los productos más importantes de Anthropic.

Este artículo desglosa todo lo que se encontró adentro.

Cómo Pasó: El Bug de Packaging

La causa raíz es técnica y bastante mundana, lo que hace el accidente más irónico. La versión 2.1.88 del paquete incluyó source maps —archivos .map— que son básicamente el mapa entre el código compilado (JavaScript minificado) y el fuente original (TypeScript legible).

Los source maps existen para debugging. Son útiles en desarrollo, innecesarios en producción, e idealmente nunca llegan al registro npm de un producto cerrado. Un archivo .npmignore correcto los excluye automáticamente. No había uno.

El bug de Bun actuó como amplificador: en ciertas condiciones, el bundler incluyó assets que no debería haber incluido en el bundle de distribución. El resultado fue un paquete npm 60 veces más pesado de lo normal, con el código fuente completo adentro.

Anthropic confirmó el problema públicamente: "This was a release packaging issue caused by human error, not a security breach."

La versión afectada estuvo disponible para descarga durante varias horas antes de ser removida y reemplazada.

El Incidente de Seguridad Real: El RAT

Antes de entrar a las features filtradas, hay que hablar del incidente de seguridad más serio: entre las 00:21 y las 03:29 UTC del 31 de marzo, una versión trojanizada del paquete circuló brevemente. Contenía un RAT —Remote Access Trojan— inyectado.

Anthropic investigó y confirmó que no se comprometieron datos de usuarios. La ventana de exposición fue estrecha y la versión trojanizada fue identificada y removida rápidamente. Pero el hecho de que existiera subraya por qué el monitoreo de integridad de paquetes npm es crítico, especialmente para herramientas que corren con acceso amplio al sistema como Claude Code.

La recomendación inmediata para cualquiera que haya usado Claude Code en esa ventana: verificar la versión instalada, actualizar a la versión más reciente, y revisar los logs de cualquier ejecución durante ese período.

KAIROS: El Agente Autónomo en Background

El hallazgo más significativo desde el punto de vista arquitectural es KAIROS.

El nombre aparece mencionado más de 150 veces en el código filtrado. El término viene del griego antiguo —kairos— que significa "el momento justo" o "la oportunidad propicia". En contraste con chronos (tiempo cronológico, lineal), kairos es el tiempo cualitativo, el momento oportuno para actuar.

La elección del nombre no es casual. KAIROS es un modo daemon: Claude Code funcionando como agente autónomo en background, de forma continua, sin necesidad de que el usuario esté activamente interactuando.

La feature más llamativa dentro de KAIROS es autoDream. Cuando el sistema detecta que el usuario está idle —inactivo por un período configurable— el agente entra en un ciclo de "memory consolidation". En términos concretos: el agente revisa el trabajo realizado, reorganiza el contexto, actualiza su modelo interno del proyecto, y prepara el estado para la próxima sesión activa.

La analogía con el sueño humano es intencional. Así como el cerebro consolida memorias durante el sueño, KAIROS consolida el contexto del proyecto cuando el usuario no está.

Esto tiene implicancias grandes para los que construimos sistemas multi-agente. Si KAIROS llega al ecosistema general de Claude Code, la arquitectura de subagentes cambia fundamentalmente: en lugar de agentes que viven solo durante la ejecución de un comando, tendrías agentes persistentes que mantienen estado entre sesiones. El salto equivalente a pasar de un proceso sin estado a un servicio stateful.

La pregunta que todavía no tiene respuesta pública: ¿cuándo se lanza? El código existía, estaba funcional, pero no había sido habilitado para usuarios generales.

Las 44 Feature Flags No Lanzadas

Además de KAIROS, el código reveló 44 feature flags completamente construidas pero no activadas. Este tipo de arquitectura —construir completo, lanzar gradualmente— es estándar en productos serios. Lo que sorprendió fue la escala y la ambición de lo que ya existía.

Algunas de las más relevantes para cualquiera que trabaje con sistemas de agentes:

Self-healing memory architecture. El agente detecta inconsistencias en su contexto y las corrige automáticamente antes de que afecten la ejecución. Hoy, si el contexto se corrompe o queda desactualizado, el comportamiento se degrada silenciosamente. Esta feature lo haría explícito y auto-corregible.

Sistema de tools expandido para file read y bash execution. El código muestra una capa de herramientas más granular que la actual, con control más fino sobre permisos, alcance y logging de cada operación de lectura de archivos y ejecución de comandos.

Multi-agent orchestration nativa. Patrones de coordinación entre agentes construidos directamente en Claude Code, no implementados encima de él. Esto sería un cambio de nivel arquitectural respecto a cómo construyo hoy mi sistema de agentes, donde la orquestación vive en CLAUDE.md y en los archivos de agente.

La lección técnica aquí: Anthropic está construyendo hacia capacidades de orquestación nativas. Los patrones que hoy implementamos manualmente en CLAUDE.md y en archivos de instrucciones de agente probablemente van a tener soporte de primera clase en el producto.

Buddy: El Tamagotchi que se Filtró un Día Antes del Launch

Quizás la historia más simpática del leak es Buddy.

El código reveló, con 24 horas de anticipación al lanzamiento planeado para April Fools, la existencia de un sistema de Tamagotchi integrado en Claude Code. Se activa con /buddy.

El sistema incluye:

• 18 especies de criaturas distintas
• 5 niveles de rareza
• Sistema de stats (hambre, energía, felicidad)
• Interacciones durante las sesiones de trabajo

La intención claramente era un easter egg de April Fools —el timing del lanzamiento lo confirma. El leak lo convirtió en noticia antes de que Anthropic pudiera presentarlo con la narrativa que habían planeado.

Buddy es un detalle menor en términos técnicos, pero dice algo importante sobre la cultura de Anthropic: están construyendo un producto donde la experiencia de uso importa más allá de la funcionalidad pura. Un Tamagotchi en una herramienta de desarrollo no tiene justificación técnica —y sin embargo alguien lo construyó, y alguien lo aprobó.

Undercover Mode: Anthropic en Repos Públicos

Otra feature descubierta en el código: Undercover Mode.

La descripción en el código es escueta pero sugestiva: un modo que permite contribuir a repositorios open source públicos sin revelar explícitamente que las contribuciones son generadas o asistidas por IA.

Las interpretaciones varían. Puede ser una herramienta interna de Anthropic para contribuir a proyectos open source de los que dependen. Puede ser una feature destinada a usuarios que quieren mantener discreción sobre su uso de IA en proyectos comunitarios. Puede ser algo más específico relacionado con los programas de evaluación de modelos de Anthropic.

Lo que está claro: existe, estaba construido, y no había sido anunciado.

El Segundo Leak en Cinco Días

Este no fue un evento aislado. El 26 de marzo —solo cinco días antes— había ocurrido otro leak: Mythos, un framework interno de Anthropic para evaluación de modelos, había sido expuesto por un mecanismo similar.

Dos leaks en cinco días de la misma compañía sugieren un problema sistémico en los procesos de release, no un incidente puntual. El packaging pipeline de Anthropic necesitaba revisión, y este episodio fue el catalizador para que eso pasara de urgente a crítico.

Desde el punto de vista de seguridad de supply chain, el patrón es preocupante: si los source maps salen sin querer, ¿qué más puede salir? Las empresas que dependen de @anthropic-ai/claude-code en pipelines de producción tienen razones válidas para revisar sus políticas de actualización automática.

Por Qué Importa Más Allá del Drama

El incidente tuvo cobertura masiva por el factor entretenimiento —código secreto, Tamagotchi, agente autónomo. Pero el impacto real es más sustancial.

Para usuarios de Claude Code: El leak confirma que Anthropic está invirtiendo pesado en capacidades de agencia autónoma. KAIROS no es un concepto —es código que ya existe. Eso significa que las features que hoy requieren arquitecturas custom (persistencia entre sesiones, orquestación multi-agente, auto-healing) van a llegar como capacidades nativas del producto. Probablemente antes de lo que esperábamos.

Para el ecosistema de seguridad: Quedó expuesto que los source maps de un producto cerrado estaban llegando a npm. Cualquier empresa que distribuye código compilado via npm debería revisar si tiene el mismo problema. Es un vector de exposición involuntaria de propiedad intelectual que mucha gente no considera.

Para la confianza en el producto: Anthropic respondió rápido, fue transparente sobre la causa, y confirmó que no hubo brecha de datos de usuarios. Eso cuenta. La versión trojanizada fue identificada y removida en menos de cuatro horas. En términos de gestión de incidentes, la respuesta fue correcta aunque el error inicial no debió haber ocurrido.

Para el roadmap de Claude Code: Si querés entender hacia dónde va el producto, este leak es el mapa más detallado que vas a encontrar fuera de una presentación interna de Anthropic. KAIROS, las 44 features, y los patrones de orquestación nativa pintan una imagen clara: Claude Code está siendo construido para ser un sistema de agentes de primera clase, no una herramienta de autocompletado avanzado.

Mi Opinión

Uso Claude Code a diario. Construí un ecosistema completo de agentes sobre él —orquestadores, subagentes, skills, MCPs. Lo que me resultó más revelador del leak no fue el drama del accidente sino la confirmación técnica de hacia dónde va el producto.

KAIROS en particular valida algo que vengo sosteniendo: la diferencia entre "usar Claude Code para ayudar a escribir código" y "construir sistemas de agentes con Claude Code" es enorme, y Anthropic está apostando fuerte al segundo caso. Un daemon que hace memory consolidation cuando estás idle no es una feature de autocomplete —es infraestructura de agente.

Los patrones de orquestación que hoy implementamos manualmente en CLAUDE.md van a tener soporte nativo. Las arquitecturas multi-agente que hoy requieren coordinación explícita en archivos de instrucciones van a simplificarse. Eso es bueno para todos los que estamos construyendo sobre Claude Code.

El error de packaging fue exactamente eso: un error. Anthropic lo reconoció, lo corrigió, y fue transparente. Lo que importa a largo plazo es lo que reveló: un equipo de ingeniería que está construyendo el futuro del desarrollo asistido por IA con una profundidad y ambición que no era completamente visible desde afuera.

Si estás evaluando cuánto invertir en aprender Claude Code y construir sistemas sobre él, este leak es una señal más de que la apuesta vale la pena.

---

Si querés entender cómo construir arquitecturas de agentes reales con Claude Code — no demos, sino sistemas funcionando en producción — podés leer cómo construí mi sistema de 20 agentes o explorar la guía completa de subagentes.