Se filtro el codigo fuente de Claude Code: BUDDY, KAIROS, Undercover Mode y 108 funciones ocultas
Mike Codeur
El 31 de marzo de 2026, el investigador de seguridad Chaofan Shou descubrió un archivo source map de 60 MB en el paquete npm de Claude Code. Este archivo de depuración contenía todo el código fuente: 1.900 archivos TypeScript, medio millón de líneas, claves API internas y funciones secretas.
Fue el 2do incidente de seguridad de Anthropic en 5 días, justo después de la filtración accidental de un post de blog sobre su nuevo modelo Mythos.
Cómo ocurrió la filtración
Claude Code está construido con Bun, no con Node. Y Bun genera source maps por defecto. Alguien simplemente olvidó excluirlos del archivo .npmignore durante el build de release.
Una línea faltante en un archivo de configuración. Eso fue todo lo necesario para exponer 500.000 líneas de código propietario de una empresa valorada en 300 mil millones de dólares.
La ironía es que la CLI de Claude Code está notablemente bien asegurada:
- Parsing de bash con AST tree-sitter y fail-closed estricto
- Sistema de permisos multicapa
- Protección SSRF con manejo de DNS rebinding
Defensa en profundidad de alto nivel. Pero un archivo de configuración olvidado, y todo quedó expuesto.
Secretos hardcodeados
El código contiene secretos que nunca debieron estar hardcodeados:
- Token de Datadog directamente en el código fuente (
src/services/analytics/config.ts). Con este token se pueden inyectar logs falsos en su pipeline de monitoreo. - 3 claves SDK de GrowthBook (
src/bootstrap/state.ts). GrowthBook gestiona sus feature flags y pruebas A/B. Estas claves permiten extraer todos sus experimentos en curso.
Estos secretos deberían haber estado en variables de entorno, no hardcodeados.
BUDDY: la mascota IA oculta en tu terminal
El descubrimiento más inesperado. Anthropic desarrolló un sistema completo de compañero virtual para Claude Code, llamado BUDDY.
18 especies: duck, dragon, axolotl, capybara, ghost, mushroom, penguin, owl, robot, cactus...
Cada especie tiene un nivel de rareza:
| Rareza | Probabilidad |
|---|---|
| Common | Mayoría |
| Uncommon | ~20% |
| Rare | ~10% |
| Epic | ~5% |
| Legendary | 1% |
Cada buddy tiene 5 stats: Debugging, Patience, Chaos, Wisdom y Snark. Vive en una burbuja junto al input del terminal, con sprites ASCII animados.
El sistema es determinista: la especie se calcula a partir de un hash de tu user ID. Siempre obtienes el mismo buddy. Claude escribe el nombre y la personalidad en el primer "hatch".
Y hay sombreros cosméticos.
Según los comentarios internos, estaba planeado para un teaser del 1 al 7 de abril (Día de los Inocentes), con un lanzamiento completo en mayo de 2026.
KAIROS: el daemon que sueña
KAIROS (del griego antiguo "el momento oportuno") es un modo daemon. Claude Code se ejecuta permanentemente en segundo plano, sin esperar a que le des una tarea.
Cómo funciona:
- Durante el día: observa lo que haces y mantiene logs diarios en modo append-only
- Por la noche: un proceso llamado
autoDreamse activa y consolida su memoria- Fusiona las observaciones
- Elimina las contradicciones
- Convierte los insights vagos en hechos verificados
- Por la mañana: tu agente tiene un contexto limpio, relevante y actualizado, sin que le hayas pedido nada
Configuración por defecto: mínimo 24 horas entre consolidaciones, y al menos 5 sesiones acumuladas antes de activar el "sueño".
Es un cambio fundamental: de un agente reactivo (le das una tarea, ejecuta) a un agente proactivo (construye contexto sobre tu trabajo con el tiempo).
Undercover Mode: la seguridad operacional de Anthropic
El archivo src/utils/undercover.ts contiene un sistema que se activa automáticamente cuando un empleado de Anthropic (USER_TYPE === 'ant') trabaja en un repo que no está en su lista interna.
Su objetivo principal: evitar filtrar información interna en commits públicos:
- Nombres internos de modelos (codenames como Capybara, Tengu)
- Números de versiones no publicadas (opus-4-7, sonnet-4-8)
- Nombres de repos internos, canales de Slack, enlaces internos
El prompt inyectado dice literalmente "Do not blow your cover" y pide escribir los mensajes de commit como lo haría un desarrollador humano. Las líneas Co-Authored-By: Claude son eliminadas.
Es seguridad operacional más que engaño deliberado, pero el resultado es el mismo: la atribución de IA desaparece de los commits públicos.
108 feature flags ocultos
Además de BUDDY, KAIROS y el Undercover Mode, el código revela 108 módulos controlados por feature flags:
- ULTRAPLAN: la fase de planificación se envía a Claude Opus en la nube durante 30 minutos. Monitorizas y apruebas desde un navegador antes de que comience la ejecución.
- Coordinator Mode: orquestación multi-agente con un sistema de mailbox
- VOICE_MODE: modo de voz integrado
- WEB_BROWSER_TOOL: navegador integrado directamente en Claude Code
- AGENT_TRIGGERS: disparadores automáticos de agentes
Ninguna de estas funciones aparece en la versión pública de Claude Code.
Conclusiones
Esta filtración revela dos cosas:
Sobre seguridad: incluso Anthropic, la empresa que se posiciona como la más rigurosa en seguridad de IA, puede cometer un error de configuración de build que lo expone todo. Revisa tu .npmignore. Revisa tus source maps. Revísalo todo.
Sobre el futuro del desarrollo: el futuro del desarrollo con IA no es un chatbot en tu terminal. Es un agente autónomo funcionando 24/7, construyendo contexto sobre tu trabajo, y "soñando" para consolidar su memoria. Anthropic ya lo está construyendo.