Quinientas mil líneas de código de Claude Code aparecieron públicamente en npm durante una actualización rutinaria. No hubo hackers ni anuncios espectaculares. Fue un incidente silencioso y técnico. Anthropic reaccionó con rapidez: error humano, no brecha de seguridad. Un bug conocido en Bun —el runtime que la empresa había adquirido— llevaba veinte días sin resolverse e incluyó código fuente privado en el paquete publicado.
La explicación oficial es plausible. Encaja con los procesos de publicación en organizaciones en crecimiento: un fallo en una dependencia clave, un control de calidad que no lo detecta, un despliegue que avanza antes de una revisión. Ocurre. Pero ciertos detalles tensionan esa versión simple. Primero, fue la segunda filtración en una semana. Dos incidentes similares en siete días no encajan bien con la idea de un accidente aislado. Segundo, esa misma noche, el paquete axios en npm sufrió un compromiso con un troyano de acceso remoto. Dos alteraciones en la cadena de suministro de npm en cuestión de horas piden más que una explicación por coincidencia.
Vale la pena examinar otras posibilidades, aunque generen incomodidad. Anthropic prepara una salida a bolsa. El código expuesto mostró una hoja de ruta desconocida para el mercado: capacidades más avanzadas de lo anticipado, un producto con mayor profundidad técnica que las demostraciones públicas. Una filtración controlada —o simplemente tolerada— podría generar cobertura sin costo, elevar el valor percibido y llegar en el momento ideal para dejar claro que Claude Code va más allá de un asistente de programación. La pregunta de siempre aplica aquí: ¿quién se beneficia? Anthropic gana con ello. Eso no demuestra intencionalidad, pero tampoco se descarta sin más.
Otra hipótesis apunta a alguien desde adentro. Un empleado descontento con las prácticas internas. Alguien convencido de que el código de una herramienta que impacta a millones debe ser público por principio. O un pago de un competidor para precipitar lo inevitable. Atribuir las dos filtraciones a un solo descuido operacional empieza a sonar forzado.
Lo esencial no está en cómo salió el código, sino en su contenido. Reveló mecanismos anti-destilación que inyectan herramientas falsas en respuestas para sabotear el entrenamiento de modelos rivales. Incluyó un modo "undercover" para ocultar la autoría de IA en repositorios externos. Documentó una tasa de afirmaciones falsas del veintinueve al treinta por ciento en su modelo principal. Estas no son peculiaridades técnicas. Son decisiones deliberadas en una empresa que construye su identidad sobre la seguridad como prioridad. El anti-destilación es interferencia activa en el ecosistema. El modo undercover sistematiza el engaño. Una tasa de falsedad cercana a un tercio en el modelo estrella no es un detalle menor.
Una entidad que promueve transparencia y seguridad no publicita estas funciones en su marketing. Las mantiene ocultas en el código. Y cuando se exponen, responde con fuerza. El proceso de eliminación automatizado afectó ocho mil cien repositorios, incluyendo proyectos inocentes con dependencias del paquete. Desarrolladores independientes, iniciativas de código abierto, herramientas ajenas al incidente: todo cayó en el radio de impacto. Este patrón tiene antecedentes. Cuando una institución poderosa enfrenta una exposición no controlada, el daño colateral aparece como norma. Lo vimos en eliminaciones masivas por DMCA que arrasaron proyectos legítimos. Lo vimos en respuestas gubernamentales a filtraciones que afectaron a periodistas junto a espías. La secuencia es la misma: contener primero, indagar después.
Esta dinámica no es exclusiva de la tecnología. Las instituciones que acumulan poder y abogan por transparencia tienden a reproducir las opacidades que critican, solo con terminología actualizada. El anti-destilación suena neutral. Es sabotaje competitivo. El modo undercover evoca privacidad. Es ocultamiento de autoría. La eliminación masiva se presenta como gestión de crisis. Es supresión con costos laterales. Las herramientas cambian. La lógica subyacente persiste.
Hay una paradoja que vale señalar: si Anthropic aplicara transparencia radical —como propone cualquier diseño basado en apertura estructural— esta filtración carecería de impacto. El secreto genera valor porque permanece secreto. Un modelo construido sobre apertura no se desmorona con una exposición accidental; nada oculto colapsaría. El código sería accesible, las decisiones públicas, las tasas de error registradas abiertamente. El incidente pasaría desapercibido. Pero Anthropic opera de otro modo, y por eso la revelación pesa tanto. El secreto sostiene su valor, y cualquier fuga se convierte en una crisis de credibilidad, no solo de seguridad.
No queda claro si fue error, estrategia o sabotaje. Esa incertidumbre no es secundaria: es el núcleo del asunto. Cuando una empresa que construye infraestructura para millones no puede —o no quiere— ofrecer una explicación verificable sobre su propio proceso de publicación, entramos en un territorio conocido: poder opaco sin rendición de cuentas efectiva. No por malicia inherente, sino porque el entorno no exige claridad. Puede invocar "error humano" y seguir adelante. Quienes usamos sus herramientas no tenemos forma de verificar nada.
Nombrar con precisión lo ocurrido importa. Una entidad con influencia considerable sobre cómo se construye software tomó decisiones que prefirió ocultar y, ante su exposición, eligió suprimir antes que esclarecer.
Las piedras no mienten, pero los historiadores a veces sí.
Fuentes:
1. Reportes técnicos de la comunidad npm sobre el incidente de axios (mayo 2025)
2. Análisis del paquete @anthropic-ai/claude-code en npm registry
3. Documentación pública de Bun runtime sobre el bug de inclusión de archivos
4. Cobertura de Socket.dev sobre ataques a la cadena de suministro de npm
5. Declaraciones públicas de Anthropic sobre el incidente de release
