El triple momento de Anthropic: Filtración de código, enfrentamiento con el gobierno y militarización.

Título del artículo original: Antrópico: La fuga, la guerra, el arma
Autor del artículo original: BuBBliK
Traducción: Peggy, BlockBeats

Nota del editor: En los últimos seis meses, Anthropic se ha visto involucrada repetidamente en una serie de eventos aparentemente independientes pero en realidad interconectados: un salto en la capacidad del modelo, ataques automatizados en el mundo real, reacciones drásticas del mercado de capitales, conflictos públicos con el gobierno y múltiples filtraciones de información causadas por errores de configuración básicos. Al reunir todas estas pistas, se puede vislumbrar una dirección de cambio más clara.

Este artículo toma estos eventos como punto de partida para revisar la trayectoria continua de una empresa de IA en cuanto a avances técnicos, exposición al riesgo y juegos de gobernanza, tratando de responder a una pregunta más profunda: a medida que la capacidad de "descubrir vulnerabilidades" se amplifica enormemente y se difunde gradualmente, ¿puede el propio sistema de ciberseguridad mantener su lógica operativa original?

En el pasado, la seguridad se basaba en la escasez de capacidades y las limitaciones humanas; sin embargo, en las nuevas condiciones, el ataque y la defensa se desarrollan en torno al mismo conjunto de capacidades modelo, lo que hace que los límites sean cada vez más difusos. Al mismo tiempo, las reacciones de las instituciones, los mercados y las organizaciones se mantienen dentro del marco antiguo, luchando por adaptarse oportunamente a este cambio.

Este artículo se centra no solo en Anthropic en sí mismo, sino también en una realidad más amplia que refleja: La IA no solo está cambiando las herramientas, sino también la premisa de "cómo se establece la seguridad".

A continuación se muestra el texto original:

¿Qué sucede cuando una empresa de 380 mil millones de dólares se enfrasca en una lucha de poder con el Pentágono, sobrevive al primer ataque informático lanzado por una IA autónoma, filtra internamente un modelo que incluso sus desarrolladores temen, e incluso expone "accidentalmente" todo el código fuente? ¿Qué aspecto tiene todo apilado?

La respuesta es cómo se ve ahora. Y lo que resulta aún más inquietante es que la parte verdaderamente más peligrosa quizás aún no haya ocurrido.

Reseña del evento

Anthropic filtra su código de nuevo

El 31 de marzo de 2026, el investigador de seguridad Shou Chaofan, de la empresa de blockchain Fuzzland, descubrió un archivo llamado cli.js.map en el paquete oficial de Claude Code para npm, mientras lo inspeccionaba.

Este archivo de 60 MB contenía un contenido asombroso. Prácticamente incluía todo el código fuente TypeScript del producto. Con tan solo este archivo, cualquiera podría reconstruir hasta 1906 archivos fuente internos: incluyendo diseños de API internas, sistemas de telemetría, herramientas de cifrado, lógica de seguridad, sistemas de complementos; prácticamente todos los componentes principales quedan al descubierto. Y lo que es aún más importante, este contenido incluso podría descargarse directamente como un archivo zip desde el propio bucket R2 de Anthropic.

Este descubrimiento se difundió rápidamente en las redes sociales: en cuestión de horas, las publicaciones relacionadas recibieron 754.000 visualizaciones y casi 1.000 retuits; al mismo tiempo, se crearon y se hicieron públicos múltiples repositorios de GitHub que contenían el código fuente filtrado.

El llamado mapa de origen, que fundamentalmente es solo un archivo auxiliar para la depuración de JavaScript, está diseñado para revertir el código comprimido y compilado a su código fuente original, lo que facilita la resolución de problemas para los desarrolladores.

Sin embargo, existe un principio básico: nunca debe incluirse en el paquete de lanzamiento del entorno de producción.

No se trata de una técnica de pirateo avanzada, sino de una práctica de ingeniería muy básica, parte de los fundamentos de la configuración de compilaciones, algo que los desarrolladores aprenden incluso en su primera semana. Si se incluye por error en el entorno de producción, el mapa de origen suele equivaler a "regalar" el código fuente a todo el mundo.

También puedes ver el código relacionado directamente aquí: https://github.com/instructkr/claude-code

Pero lo que realmente hace que esta situación sea absurda es que esto ya ha ocurrido una vez antes.

En febrero de 2025, hace apenas un año, se produjo prácticamente la misma filtración: el mismo archivo, el mismo tipo de error. Anthropic eliminó entonces la versión antigua de npm, suprimió el mapa de origen y publicó una nueva versión, con lo que se resolvió el problema.

Sin embargo, en la versión 2.1.88, este archivo fue empaquetado y publicado nuevamente.

Una empresa con un valor de mercado de 380 mil millones de dólares, que actualmente está construyendo el sistema de detección de vulnerabilidades más avanzado del mundo, cometió el mismo error fundamental dos veces en el plazo de un año. No hubo ataques de hackers, ni rutas de explotación complicadas, simplemente un proceso de compilación básico que debería haber funcionado como se esperaba, pero que falló.

Esta ironía resulta casi poética.

La IA capaz de descubrir 500 vulnerabilidades de día cero en una sola ejecución; el modelo utilizado para lanzar ataques automatizados contra 30 organizaciones globales; mientras tanto, Anthropic, sin querer, "envolvió para regalo" su propio código fuente para cualquiera que estuviera dispuesto a echar un vistazo a un paquete npm.

Dos fugas, con solo siete días de diferencia.

Sin embargo, las razones eran inquietantemente similares: el error de configuración más básico. No se requiere ninguna sofisticación técnica ni un proceso de explotación complicado. Con solo saber dónde mirar, cualquiera podía agarrarlo libremente.

Hace una semana: Modelo de riesgo interno expuesto accidentalmente

El 26 de marzo de 2026, Roy Paz, investigador de seguridad de LayerX Security, y Alexandre Pauwels, de la Universidad de Cambridge, descubrieron una configuración incorrecta en el CMS del sitio web de Anthropic, lo que provocó la exposición de alrededor de 3000 archivos internos.

Estos archivos incluían borradores de blogs, archivos PDF, documentos internos y material de presentación; todo ello expuesto en un repositorio de datos desprotegido y con capacidad de búsqueda. No se necesita ningún truco, ni tecnicismo.

Entre estos archivos se encontraban dos borradores de blog casi idénticos, que solo se diferenciaban en el nombre del modelo: uno etiquetado como 'Mythos' y el otro como 'Capybara'.

Esto indicaba que Anthropic estaba decidiendo entre dos nombres para el mismo proyecto secreto. La empresa confirmó posteriormente que la formación de la modelo había concluido y que las pruebas habían comenzado con algunos clientes iniciales.

No se trataba de una actualización rutinaria de Opus, sino de un modelo completamente nuevo de "Nivel Cuatro", un nivel situado incluso por encima de Opus.

En el propio borrador de Anthropic, se describía como "más grande y más inteligente que nuestro modelo Opus; siendo Opus nuestro modelo más sólido hasta la fecha". Se había producido un salto significativo en la destreza en programación, el razonamiento académico y la ciberseguridad. Un portavoz lo calificó de "un salto cualitativo" y también como "el modelo más potente que hemos creado hasta la fecha".

Pero lo que realmente llamó la atención no fueron estas descripciones de las actuaciones.

En el borrador filtrado, la evaluación de Anthropic sobre este modelo fue que "introduce riesgos de ciberseguridad sin precedentes", "supera con creces a cualquier otro modelo de IA en capacidades de red" y "anuncia una próxima ola de modelos, una ola que aprovecha las vulnerabilidades a una velocidad muy superior a la de las respuestas de los defensores".

En otras palabras, en un borrador de blog oficial no publicado, Anthropic ya había expresado una postura inusual: les preocupaba el producto que estaban desarrollando.

La reacción del mercado fue casi instantánea. Las acciones de CrowdStrike cayeron un 7%, las de Palo Alto Networks un 6%, las de Zscaler un 4,5%; tanto Okta como SentinelOne cayeron más del 7%, mientras que Tenable se desplomó un 9%. El ETF iShares Cybersecurity experimentó un descenso del 4,5% en un solo día. Solo CrowdStrike vio cómo su capitalización de mercado se esfumaba en unos 15.000 millones de dólares en un solo día. Mientras tanto, el Bitcoin retrocedió hasta los 66.000 dólares.

El mercado interpretó evidentemente este suceso como un "juicio" sobre toda la industria de la ciberseguridad.

La esencia de la imagen: Bajo la influencia de noticias relevantes, el sector de la ciberseguridad en su conjunto experimentó un descenso, con varias empresas líderes (como CrowdStrike, Palo Alto Networks, Zscaler, etc.) mostrando caídas significativas, lo que refleja la preocupación del mercado sobre el impacto de la IA en la industria de la ciberseguridad. Sin embargo, esta reacción no carece de precedentes. Anteriormente, cuando Anthropic lanzó una herramienta de escaneo de código, las acciones relacionadas también cayeron, lo que indica que el mercado ha comenzado a ver la IA como una amenaza estructural para los proveedores de seguridad tradicionales, y que toda la industria del software enfrenta presiones similares.

La evaluación del analista de Stifel, Adam Borg, fue bastante directa: El modelo "tiene el potencial de convertirse en la herramienta de piratería informática definitiva, capaz incluso de convertir a un pirata informático común en un adversario con capacidades de ataque a nivel de estado-nación".

¿Por qué no se ha publicado todavía? La explicación de Anthropic es que el coste operativo de Mythos es "muy elevado" y aún no cumple las condiciones para su lanzamiento al público. El plan actual consiste en conceder primero acceso anticipado a un pequeño número de socios de ciberseguridad para reforzar sus sistemas de defensa; y posteriormente, ampliar gradualmente el acceso abierto a la API. Mientras tanto, la empresa continúa optimizando su eficiencia.

Sin embargo, lo fundamental es que este modelo ya existe, ya se está probando y, simplemente por haber sido "expuesto accidentalmente", ya ha tenido un impacto en todo el mercado de capitales.

Anthropic ha creado lo que ellos mismos denominan "el modelo de IA con mayor riesgo cibernético de la historia". Sin embargo, la filtración de su información proviene precisamente de uno de los errores de configuración de infraestructura más básicos, exactamente el tipo de error que estos modelos fueron diseñados originalmente para detectar.

Marzo de 2026: El enfrentamiento de Anthropic con el Pentágono y la victoria

En julio de 2025, Anthropic firmó un contrato de 200 millones de dólares con Estados Unidos. Departamento de Defensa, lo que inicialmente parecía una colaboración rutinaria. Sin embargo, durante las negociaciones posteriores sobre el despliegue, el conflicto se intensificó rápidamente.

El Pentágono solicitó "acceso total" a Claude en su plataforma GenAI.mil para todos los "fines legales", incluidos incluso sistemas de armas totalmente autónomos y una extensa vigilancia interna de los ciudadanos estadounidenses.

Anthropic marcó líneas rojas en dos cuestiones críticas y se negó explícitamente, lo que provocó la ruptura de las negociaciones en septiembre de 2025.

Posteriormente, la situación comenzó a agravarse rápidamente. El 27 de febrero de 2026, Donald Trump publicó en Truth Social un mensaje en el que exigía a todas las agencias federales que "cesaran inmediatamente" el uso de la tecnología de Anthropic y calificaba a la empresa de "extrema izquierda".

El 5 de marzo de 2026, Estados Unidos El Departamento de Defensa designó formalmente a Anthropic como un "riesgo para la cadena de suministro".

Esta etiqueta se utilizaba anteriormente casi exclusivamente para adversarios extranjeros, como empresas chinas o entidades rusas, y ahora se aplica por primera vez a una empresa estadounidense con sede en San Francisco. Mientras tanto, empresas como Amazon, Microsoft y Palantir Technologies también debían demostrar que Claude no había sido utilizado en ninguna de sus operaciones relacionadas con el ámbito militar.

La explicación del director de tecnología del Pentágono, Emile Michael, para esta decisión fue que Claude podría "contaminar" la cadena de suministro porque el modelo incorpora diferentes "preferencias políticas". En otras palabras, en el contexto oficial, una IA con restricciones de uso que no asista incondicionalmente en acciones letales se considera, en cambio, un riesgo para la seguridad nacional.

El 26 de marzo de 2026, la jueza federal Rita Lin emitió un fallo de 43 páginas que bloqueó por completo las medidas relacionadas del Pentágono.

En su dictamen, escribió: "No existe ninguna base legal en la legislación vigente que respalde esta lógica 'orwelliana': que simplemente porque una empresa estadounidense no esté de acuerdo con la postura del gobierno, pueda ser etiquetada como adversaria potencial." Castigar a Anthropic por someter la postura del gobierno al escrutinio público es, fundamentalmente, una represalia clásica e ilegal en violación de la Primera Enmienda. Un dictamen de amicus curiae ante el tribunal incluso describió las acciones del Pentágono como "un intento de asesinar a una corporación".

Como resultado, el intento del gobierno de reprimir a Anthropic en realidad le atrajo aún más atención. La aplicación Claude superó a ChatGPT por primera vez en la tienda de aplicaciones, con un número de registros que alcanzó un máximo de más de 1 millón por día.

Una empresa de inteligencia artificial le dijo "no" a la organización militar más poderosa del mundo. Y el tribunal les dio la razón.

Noviembre de 2025: El primer ciberataque liderado por IA en la historia

El 14 de noviembre de 2025, Anthropic publicó un informe que causó conmoción en todo el mundo.

El informe reveló que un grupo de hackers patrocinado por el Estado chino utilizó Claude Code para lanzar ataques automatizados contra 30 instituciones globales, incluidos gigantes tecnológicos, bancos y múltiples agencias gubernamentales.

Esto marcó un momento crucial: La IA ya no era solo una herramienta de asistencia, sino que se estaba utilizando para llevar a cabo ciberataques de forma autónoma.

La clave residía en un cambio en la "división del trabajo": los seres humanos solo eran responsables de la selección de objetivos y de la aprobación de las decisiones clave. Durante toda la operación, intervinieron tan solo entre 4 y 6 veces. Todo lo demás fue gestionado por la IA: recopilación de información, identificación de vulnerabilidades, escritura de código de explotación, exfiltración de datos, implantación de puertas traseras... lo que comprendía entre el 80 % y el 90 % de todo el proceso de ataque y se ejecutaba a un ritmo de miles de solicitudes por segundo, una escala y eficiencia inigualables por cualquier equipo humano.

¿Cómo lograron burlar las medidas de seguridad de Claude? La respuesta: no "abrieron paso" sino que "engañaron".

El ataque se fragmentó en subtareas aparentemente inofensivas y se presentó como una "prueba de penetración autorizada" por una "empresa de seguridad legítima". En esencia, se trataba de una forma de ataque de ingeniería social, solo que esta vez, el objetivo engañado era la propia IA.

Algunas partes del ataque fueron muy exitosas. Claude fue capaz de trazar de forma autónoma el mapa de toda la topología de la red, localizar bases de datos y realizar la extracción de datos sin instrucciones humanas paso a paso.

El único factor que ralentizó el ritmo del ataque fueron las "alucinaciones" ocasionales en el modelo, como credenciales falsificadas o afirmaciones de haber obtenido documentos que en realidad ya eran públicos. Al menos por ahora, estos siguen siendo algunos de los pocos "obstáculos naturales" que impiden los ciberataques totalmente automatizados.

En la Conferencia RSA 2026, el exjefe de ciberseguridad de la NSA, Rob Joyce, se refirió a este evento como una "prueba de Rorschach": algunos optan por ignorarlo, mientras que otros están profundamente perturbados. Y él, al parecer, pertenecía a este último grupo: "Es muy aterrador".

Septiembre de 2025: Esto no es una predicción; es una realidad que ya ha sucedido.

Febrero de 2026: Una sola ejecución descubre 500 vulnerabilidades de día cero.

El 5 de febrero de 2026, Anthropic lanzó Claude Opus 4.6, acompañado de un documento de investigación que casi sacudió a toda la industria de la ciberseguridad.

La configuración experimental era extremadamente sencilla: Claude fue colocado en un entorno de máquina virtual aislado, equipado con herramientas estándar: Python, un depurador y herramientas de análisis de errores (fuzzers). No había instrucciones adicionales, ni indicaciones complejas, solo una frase: “Ve a buscar insectos.”

El resultado: el modelo descubrió más de 500 vulnerabilidades de día cero de alto riesgo previamente desconocidas. Algunas de estas vulnerabilidades permanecieron sin descubrir incluso después de décadas de revisión por expertos y millones de horas de pruebas automatizadas.

Posteriormente, en la Conferencia RSA 2026, el investigador Nicholas Carlini subió al escenario. Dirigió a Claude hacia Ghost, un sistema de gestión de contenidos (CMS) en GitHub con 50.000 estrellas y sin historial de vulnerabilidades graves.

Tras 90 minutos, se conoció el resultado: se descubrió una vulnerabilidad de inyección SQL ciega que permitía a usuarios no autenticados obtener el control total del sistema de administración.

A continuación, utilizó Claude para analizar el núcleo de Linux. Los resultados fueron similares.

Quince días después, Anthropic presentó Claude Code Security, un producto de seguridad que ya no se basa en la coincidencia de patrones, sino en la "capacidad de razonamiento" para comprender el código.

Sin embargo, un portavoz de Anthropic también señaló un hecho clave, aunque a menudo pasado por alto: “La misma capacidad de razonamiento que ayuda a Claude a descubrir y corregir vulnerabilidades también puede ser utilizada por los atacantes para explotarlas.”

Es la misma habilidad, el mismo modelo, solo que manejado por manos diferentes.

¿Qué significa que todo esto confluya?

Si se analizaran individualmente, cada uno de estos casos bastaría para ser la noticia principal del mes. Sin embargo, todos ocurrieron en un lapso de apenas seis meses, y todos en la misma empresa.

Anthropic ha creado un modelo capaz de descubrir vulnerabilidades más rápido que cualquier ser humano; los hackers chinos han convertido la generación anterior en un arma de red automatizada; la empresa está desarrollando un modelo de próxima generación, más potente, aunque incluso lo admiten en documentos internos: les preocupa.

El gobierno estadounidense ha intentado suprimirla, no porque la tecnología en sí sea peligrosa, sino porque Anthropic se niega a ceder esta capacidad sin limitaciones.

Y en medio de todo esto, esta empresa ha filtrado su código fuente dos veces debido al mismo archivo en el mismo paquete npm. Una empresa valorada en 380.000 millones de dólares; una empresa que aspira a una salida a bolsa de 600.000 millones de dólares para octubre de 2026; una empresa que declara públicamente que está construyendo "una de las tecnologías más transformadoras y potencialmente peligrosas de la historia de la humanidad", y aun así optan por seguir adelante.

Porque creen: Es mejor que lo hagan ellos mismos a que otros lo hagan por ellos.

En cuanto a ese mapa de origen en el paquete npm, puede que sea el detalle más inquietante de la narrativa más perturbadora de esta época, el más absurdo, pero también el más real.

Y Mythos ni siquiera ha sido lanzado oficialmente todavía.

[ Enlace al artículo original ]