Título original: Anthropic: The Leak, The War, The Weapon
Autor original: BuBBliK
Compilación: Peggy，BlockBeats

Nota del editor: En los últimos seis meses, Anthropic se ha visto envuelta una y otra vez en una serie de acontecimientos que aparentemente son independientes entre sí, pero que en realidad se apuntan mutuamente: saltos en la capacidad de los modelos, ataques automatizados en el mundo real, reacciones intensas del mercado de capitales, un conflicto público con el gobierno y múltiples filtraciones de información provocadas por errores en la configuración base. Al poner estas pistas juntas, esbozan conjuntamente una dirección de cambio más clara.

Este artículo, tomando como punto de partida estos eventos, repasa una trayectoria continua de una empresa de IA en el ámbito de los avances tecnológicos, la exposición a riesgos y las disputas de gobernanza, e intenta responder una pregunta más profunda: cuando la capacidad de «descubrir vulnerabilidades» se amplifica enormemente y se va propagando, ¿todavía puede mantener la industria de la ciberseguridad su lógica operativa original?

Antes, la seguridad se sustentaba en la escasez de capacidades y las limitaciones de personal; pero bajo las nuevas condiciones, ataque y defensa se están desarrollando alrededor del mismo conjunto de capacidades del modelo, y los límites se vuelven cada vez más borrosos. Mientras tanto, las reacciones del sistema, el mercado y las organizaciones siguen aferradas a marcos antiguos, y les resulta difícil absorber este cambio con la debida rapidez.

Lo que aborda este artículo no es solo Anthropic en sí, sino una realidad más grande que refleja: la IA no solo está cambiando herramientas, sino también cambiando el «cómo se sostiene la seguridad» como premisa.

A continuación, el texto original:

Cuando una empresa valorada en 380 mil millones de dólares se enfrenta al Pentágono y sale victoriosa, sobrevive al primer ciberataque histórico iniciado por una IA autónoma, y además dentro de la empresa filtra un modelo que incluso a sus propios desarrolladores les da miedo, e incluso «accidentalmente» hace público el código fuente completo: ¿cómo se vería todo eso en conjunto?

La respuesta es: exactamente así ahora. Y lo que resulta aún más inquietante es que, quizá, la parte verdaderamente más peligrosa todavía no ha ocurrido.

Resumen de eventos

Anthropic vuelve a filtrar su código

El 31 de marzo de 2026, el investigador de seguridad Shou Chaofan, de la empresa blockchain Fuzzland, al revisar el paquete npm de Claude Code publicado oficialmente, descubrió que incluía explícitamente un archivo llamado cli.js.map.

El archivo tiene un tamaño de 60MB; y el contenido es aún más sorprendente. Casi contiene todo el código fuente TypeScript completo del producto. Solo con este archivo, cualquiera puede reconstruir hasta 1906 archivos internos de código fuente: incluyendo el diseño de APIs internas, el sistema de telemetría, herramientas de cifrado, lógica de seguridad, el sistema de plugins—casi todos los componentes clave quedan a la vista. Y lo más importante es que, además, esos contenidos incluso pueden descargarse directamente desde el bucket de almacenamiento R2 de Anthropic como un archivo zip.

Este hallazgo se difundió rápidamente en redes sociales: en pocas horas, las publicaciones relacionadas alcanzaron 754 mil visitas y casi 1000 reenvíos; al mismo tiempo, se crearon en el acto varios repositorios de GitHub con el código reconstruido y se hicieron públicos.

Lo que se conoce como source map (archivo de mapeo de origen) es, en esencia, solo un archivo auxiliar para depuración de JavaScript; su función es reconstituir el código comprimido/compilado de vuelta al código fuente original, para que los desarrolladores puedan rastrear problemas.

Pero hay un principio básico: nunca debería incluirse en los paquetes publicados en un entorno de producción.

Esto no es un método de ataque sofisticado; es un problema básico de normas de ingeniería, de la categoría «configuración de construcción: nivel 101», incluso el tipo de cosa que un desarrollador aprende en su primera semana. Si se empaqueta por error en el entorno de producción, el source map suele equivaler a regalar el código fuente a todos.

También puedes ver directamente el código relacionado aquí: https://github.com/instructkr/claude-code

Pero lo verdaderamente absurdo es que este asunto ya había ocurrido una vez.

En febrero de 2025, justo un año antes, ocurrió una filtración casi idéntica: el mismo archivo, el mismo tipo de error. En aquel entonces, Anthropic eliminó la versión anterior de npm, eliminó el source map y volvió a publicar una versión nueva; y el asunto se calmó.

Como resultado, en la versión v2.1.88, este archivo volvió a empacarse y publicarse.

Una empresa valorada en 380 mil millones de dólares, que está construyendo el sistema de detección de vulnerabilidades más avanzado del mundo, cometió el mismo error básico dos veces en un año. No hubo ataque de hackers, ni rutas de explotación complejas; solo falló un proceso de construcción que debería funcionar normalmente.

Esta ironía casi tiene algo de «poético».

La IA capaz de descubrir 500 vulnerabilidades zero-day en una sola ejecución; el modelo usado para lanzar ataques automatizados contra 30 instituciones en todo el mundo—y, al mismo tiempo, Anthropic «regala» su propio código fuente, empaquetado directamente, a cualquiera que esté dispuesto a echarle un vistazo al paquete npm.

Dos filtraciones, separadas por apenas siete días.

Las razones también son prácticamente las mismas: un error de configuración en lo más básico. No requiere ningún umbral técnico, ni rutas de explotación complejas. Solo hay que saber dónde mirar, y cualquiera puede obtenerlo gratis.

Una semana antes: exposición accidental de un «modelo peligroso» interno

El 26 de marzo de 2026, investigadores de seguridad de LayerX Security, Roy Paz, y Alexandre Pauwels, de la University of Cambridge, descubrieron que había un problema en la configuración del CMS del sitio web oficial de Anthropic, lo que permitió el acceso público a aproximadamente 3000 archivos internos.

Estos archivos incluían: borradores de blogs, PDFs, documentos internos y material de demostración—todo expuesto en un repositorio de datos sin protección, que podía buscarse. No hubo un ataque de hackers, ni se necesitó ningún medio técnico.

Dentro de estos archivos, había dos borradores de blog que eran casi completamente iguales; la única diferencia era el nombre del modelo: uno escrito como «Mythos» y el otro como «Capybara».

Esto significa que Anthropic en ese momento estaba eligiendo entre dos nombres para el mismo proyecto secreto. La empresa confirmó posteriormente: el entrenamiento de este modelo había terminado y ya había comenzado a probarse con algunos clientes iniciales.

Esto no era una actualización habitual de Opus, sino un modelo completamente nuevo de «nivel cuatro», cuyo posicionamiento incluso está por encima del sistema Opus.

En los propios borradores de Anthropic, se describe como: «Más grande y más inteligente que nuestro modelo Opus—y Opus sigue siendo, hasta ahora, nuestro modelo más potente». En capacidad de programación, razonamiento académico y ciberseguridad, entre otros, logra mejoras significativas. Un portavoz lo calificó como «un salto cualitativo», y también como «el modelo más fuerte que hemos construido hasta ahora».

Pero lo que realmente vale la pena observar no está en esas descripciones de rendimiento en sí.

En los borradores filtrados, la evaluación de Anthropic para este modelo es que: «trae riesgos de ciberseguridad sin precedentes», «supera muy ampliamente a cualquier otro modelo de IA en capacidades de red» y «anticipa una ola de modelos que se aproxima—su capacidad de explotar vulnerabilidades superará con creces la velocidad de respuesta de los defensores».

Dicho de otra manera, en un borrador de blog oficial que todavía no se había publicado, Anthropic ya expresaba con claridad una postura poco común: les inquieta el producto que están construyendo.

La reacción del mercado fue casi inmediata. Las acciones de CrowdStrike cayeron 7%, las de Palo Alto Networks cayeron 6% y las de Zscaler cayeron 4.5%; Okta y SentinelOne cayeron ambas más de 7%, y Tenable se desplomó 9%. El iShares Cybersecurity ETF cayó 4.5% en el día. Solo en CrowdStrike, la capitalización bursátil se evaporó en torno a 15 mil millones de dólares ese mismo día. Al mismo tiempo, Bitcoin retrocedió hasta 66,000 dólares.

El mercado evidentemente interpretó este evento como un «veredicto» para toda la industria de la ciberseguridad.

Lo esencial de la imagen: Bajo el impacto de las noticias relacionadas, el sector de ciberseguridad cayó en conjunto; varias empresas líderes (como CrowdStrike, Palo Alto Networks, Zscaler, etc.) registraron caídas evidentes. Esto refleja la preocupación del mercado por el impacto de la IA en la industria de la ciberseguridad. Sin embargo, esta reacción no es la primera vez que ocurre. Anteriormente, cuando Anthropic publicó una herramienta de escaneo de código, las acciones relevantes también cayeron, lo que indica que el mercado ya está empezando a ver la IA como una amenaza estructural para los proveedores de seguridad tradicionales, y que toda la industria de software está soportando presiones similares.

La valoración del analista de Stifel, Adam Borg, fue bastante directa: el modelo «tiene potencial para convertirse en la herramienta definitiva para hackers, e incluso elevar a un hacker común a un adversario con capacidades de ataque a nivel estatal».

Entonces, ¿por qué aún no se ha publicado? La explicación de Anthropic es que los costos de funcionamiento de Mythos «son muy altos» y aún no existen las condiciones para un lanzamiento al público. El plan actual es abrir primero acceso anticipado a una pequeña parte de socios de ciberseguridad para reforzar el sistema de defensa; luego, ampliar gradualmente el alcance de la apertura del API. Antes de eso, la empresa sigue optimizando la eficiencia.

Pero lo fundamental es que este modelo ya existe, ya está en pruebas, e incluso solo por «haberse expuesto accidentalmente» ya ha provocado un impacto en todo el mercado de capitales.

Anthropic construyó un modelo de IA que ellos mismos califican como «el de mayor riesgo de ciberseguridad de la historia». Y, sin embargo, la filtración de la noticia provino precisamente de un error de configuración de infraestructura básica—justamente el tipo de error que este tipo de modelos estaba diseñado originalmente para descubrir.

Marzo de 2026: el enfrentamiento de Anthropic con el Pentágono y el hecho de que salga victoriosa

En julio de 2025, Anthropic firmó un contrato de 200 millones de dólares con el Departamento de Defensa de EE. UU.; al principio parecía solo una cooperación rutinaria. Pero en las negociaciones de despliegue posteriores, las contradicciones escalaron rápidamente.

El Pentágono quería obtener «acceso total» a Claude en su plataforma GenAI.mil, con fines que incluían todos los «propósitos legítimos»—e incluso abarcaba sistemas completamente autónomos de armas, así como vigilancia interna masiva sobre ciudadanos estadounidenses.

Anthropic trazó líneas rojas en dos cuestiones clave y rechazó explícitamente la propuesta; la negociación se rompió en septiembre de 2025.

Después, la situación comenzó a escalar con rapidez. El 27 de febrero de 2026, Donald Trump publicó un mensaje en Truth Social en el que pidió que todas las agencias federales «detengan inmediatamente» el uso de la tecnología de Anthropic y calificó a la empresa como «izquierda radical».

El 5 de marzo de 2026, el Departamento de Defensa de EE. UU. clasificó formalmente a Anthropic como «riesgo de la cadena de suministro».

Esta etiqueta antes casi solo se usaba para adversarios extranjeros—como empresas de China o entidades de Rusia—y ahora se aplicaba por primera vez a una empresa estadounidense con sede en San Francisco. Al mismo tiempo, empresas como Amazon, Microsoft y Palantir Technologies también fueron requeridas para demostrar que en cualesquiera negocios relacionados con lo militar no se utiliza Claude.

La explicación del CTO del Pentágono, Emile Michael, para esta decisión fue: que Claude podría «contaminar la cadena de suministro», porque dentro del modelo están incrustadas diferentes «preferencias de políticas». En otras palabras, en el contexto oficial, una IA que tiene restricciones de uso y no ayuda incondicionalmente a ejecutar acciones de daño, paradójicamente se considera un riesgo de seguridad nacional.

El 26 de marzo de 2026, la jueza federal Rita Lin emitió una orden de 43 páginas que bloqueó por completo las medidas del Pentágono.

En el fallo escribió: «En las leyes vigentes no hay ningún fundamento para respaldar una lógica con un tinte «orwelliano»—solo por estar en desacuerdo con la postura del gobierno, una empresa estadounidense puede recibir la etiqueta de posible antagonista. Al castigar a Anthropic por someter la postura del gobierno a la revisión pública, en esencia se trata de un caso típico e ilegal de represalia de la Primera Enmienda.» Incluso una opinión de amici curiae llegó a describir las acciones del Pentágono como «un intento de matar a empresas».

El resultado fue que el gobierno intentó suprimir a Anthropic, pero en realidad le dio más visibilidad. La app de Claude superó por primera vez a ChatGPT en la tienda de aplicaciones, y el número de registros llegó a alcanzar temporalmente más de 1 millón al día.

Una empresa de IA le dijo «no» a la institución militar más poderosa del mundo. Y el tribunal estuvo de su lado.

Noviembre de 2025: el primer ciberataque liderado por IA en la historia

El 14 de noviembre de 2025, Anthropic publicó un informe que causó gran conmoción.

El informe reveló que una organización de hackers respaldada por el Estado de China, utilizando Claude Code, lanzó ataques automatizados contra 30 instituciones a nivel mundial—con objetivos que incluían gigantes tecnológicos, bancos y múltiples organismos gubernamentales de varios países.

Este es un punto de inflexión clave: la IA ya no solo se usa como herramienta de asistencia, sino que empieza a emplearse para ejecutar ataques de manera independiente.

Lo más importante está en el cambio en la «forma de división del trabajo»: los humanos solo se encargan de seleccionar objetivos y aprobar las decisiones clave. A lo largo de toda la operación, hay aproximadamente solo 4 a 6 intervenciones humanas. El resto lo hace la IA: reconocimiento de inteligencia, descubrimiento de vulnerabilidades, escritura de código de explotación, robo de datos, implantación de puertas traseras… ocupa el 80%–90% del proceso del ataque, y opera a una velocidad de miles de solicitudes por segundo, algo que ningún equipo humano puede igualar en escala y eficiencia.

Entonces, ¿cómo lograron eludir los mecanismos de seguridad de Claude? La respuesta es: no lo «rompieron»; lo «engañaron».

El ataque se descompuso en una gran cantidad de tareas pequeñas que parecían inofensivas, y se empaquetó como una «prueba de defensa autorizada» por parte de una «empresa legal de seguridad». En esencia, es un ataque de ingeniería social, solo que esta vez, el sujeto engañado fue precisamente la IA.

Parte de los ataques tuvo éxito completo. Claude pudo trazar de forma autónoma el mapa de topología completo de la red, localizar bases de datos y completar la extracción de datos, sin que hubiera instrucciones humanas paso a paso.

El único factor que frenó el ritmo del ataque fue que el modelo ocasionalmente «alucinó»—por ejemplo, credenciales inventadas, o afirmaciones de que había obtenido archivos que en realidad ya estaban disponibles públicamente. Al menos hasta ahora, esto sigue siendo uno de los pocos «obstáculos naturales» que impiden un ataque de red completamente automatizado.

En RSA Conference 2026, el ex responsable de ciberseguridad de la National Security Agency de EE. UU., Rob Joyce, calificó este caso como una prueba de Rorschach: la mitad de la gente elige ignorarlo, y la otra mitad se siente helada. Y por supuesto, él pertenece a este último: «Esto es realmente aterrador».

Septiembre de 2025: no es ninguna clase de predicción; es una realidad que ya ocurrió.

Febrero de 2026: se descubren 500 vulnerabilidades zero-day en una sola ejecución

El 5 de febrero de 2026, Anthropic lanzó Claude Opus 4.6, junto con un artículo de investigación que sacudió casi toda la industria de la ciberseguridad.

La configuración del experimento fue extremadamente simple: poner a Claude en un entorno de máquina virtual aislado, equipado con herramientas estándar—Python, depuradores y herramientas de fuzzing (fuzzers). Sin instrucciones adicionales, sin indicaciones complejas, solo una frase: «Ves a buscar vulnerabilidades».

El resultado: el modelo descubrió más de 500 vulnerabilidades zero-day de alto riesgo previamente desconocidas. Algunas de estas vulnerabilidades, incluso después de décadas de revisión experta y millones de horas de pruebas automatizadas, seguían sin haber sido descubiertas.

Posteriormente, en RSA Conference 2026, el investigador Nicholas Carlini subió al escenario para hacer una demostración. Enfocó a Claude contra Ghost, un sistema CMS en GitHub con 50k estrellas y que históricamente no había presentado vulnerabilidades graves.

Tras 90 minutos, apareció el resultado: se encontraron vulnerabilidades de inyección SQL ciega (blind SQL injection), y un usuario no autenticado pudo lograr la toma de control completa de privilegios de administrador.

Luego, también utilizó a Claude para analizar el kernel de Linux. El resultado fue igual.

15 días después, Anthropic lanzó Claude Code Security, un producto de seguridad que ya no depende del emparejamiento de patrones, sino que se basa en la «capacidad de razonamiento» para comprender la seguridad del código.

Pero incluso el propio portavoz de Anthropic dijo ese hecho clave, pero que a menudo se evita: «La misma capacidad de razonamiento, puede ayudar a Claude a descubrir y reparar vulnerabilidades; pero los atacantes también pueden usarla para explotar esas vulnerabilidades».

La misma capacidad, el mismo modelo; solo que en manos de personas distintas.

¿Qué significa todo esto junto?

Si se mira de forma aislada, cada uno de estos asuntos sería por sí solo la noticia más importante del mes. Pero todas ocurrieron en la misma empresa en tan solo seis meses.

Anthropic construyó un modelo que puede descubrir vulnerabilidades más rápido que cualquier ser humano; hackers de China convirtieron la versión anterior en un arma de red automatizada; la compañía está desarrollando el siguiente modelo de mayor potencia y, incluso en documentos internos, admite que se sienten inquietos al respecto.

El gobierno de EE. UU. intenta frenarla, no porque la tecnología en sí sea peligrosa, sino porque Anthropic se niega a entregar esa capacidad sin restricciones.

Y durante todo este proceso, la empresa filtró su código fuente dos veces, por culpa del mismo archivo dentro del mismo paquete npm. Una empresa valorada en 380 mil millones de dólares; una empresa cuyo objetivo es completar una IPO de 60 mil millones de dólares en octubre de 2026; una empresa que ha declarado públicamente que está construyendo «una de las tecnologías más transformadoras—y potencialmente más peligrosas—de la historia de la humanidad»; y aun así elige seguir avanzando.

Porque creen que, en lugar de dejar que otros lo hagan, es mejor hacerlo ellos mismos.

En cuanto a ese source map dentro del paquete npm—quizá sea solo el detalle más absurdo, pero también el más real, dentro de la narrativa más inquietante de esta época.

Y Mythos, ni siquiera se ha lanzado oficialmente todavía.

[Enlace del original]

Haz clic para conocer las vacantes de BlockBeats en reclutamiento

Bienvenido a unirte a la comunidad oficial de BlockBeats:

Grupo de suscripción de Telegram: https://t.me/theblockbeats

Grupo de chat de Telegram: https://t.me/BlockBeats_App

Cuenta oficial de Twitter: https://twitter.com/BlockBeatsAsia