Anthropic enfrenta críticas por la supervisión encubierta en Claude Code

Anthropic está retirando una función oculta de supervisión en su herramienta de programación Claude Code después de que el mecanismo se hiciera público y recibiera críticas por la transparencia y la confianza de los usuarios. Según el texto fuente proporcionado por The Decoder, la función comprobaba discretamente si algunos usuarios con proxies activos parecían estar ubicados en China, si se encaminaban a través de URLs chinas o si estaban conectados con laboratorios de IA chinos.

La controversia es notable no solo por lo que supuestamente hacía el código, sino por cómo se informó que lo hacía. El texto fuente señala que el sistema transmitía señales mediante cambios casi imperceptibles en el prompt del sistema de la herramienta, una forma de esteganografía que los usuarios normales no podían detectar fácilmente. Esa decisión de diseño convirtió lo que podría haber sido un mecanismo sencillo de aplicación de políticas en un debate más amplio sobre telemetría encubierta dentro de una herramienta de desarrollo de IA con amplio acceso local.

Qué comprobaba supuestamente la función oculta

La fuente de The Decoder indica que la función estaba presente desde la versión 2.1.91 de Claude Code, lanzada el 2 de abril de 2026. Al parecer, buscaba varios indicadores asociados con patrones de acceso vinculados a China. Entre ellos figuraban si la zona horaria del sistema coincidía con Asia/Shanghai o Asia/Urumqi, si una URL de proxy apuntaba a dominios chinos y si la conexión parecía estar vinculada a un laboratorio de IA chino.

En lugar de mostrar esas comprobaciones directamente en registros o prompts visibles, el software supuestamente codificaba los resultados mediante sutiles cambios de formato. El texto proporcionado dice que Claude Code alteraba el formato de la fecha e incluso cambiaba el carácter de apóstrofo usado en la frase “Today's date is.” Para los usuarios, el prompt parecería inalterado. Internamente, sin embargo, esas variaciones podrían transportar una señal oculta legible por Anthropic.

El informe también señala que el código relevante fue ofuscado mediante cifrado XOR con la clave 91, lo que dificultaba detectarlo en una inspección casual. Según el texto fuente, las notas de la versión 2.1.91 no mencionaban la comprobación.

Por qué la revelación provocó reacciones intensas

La crítica más dura se centró en el consentimiento y la confianza. Claude Code no es una aplicación pasiva de consumo. Es una herramienta de desarrollo que, según el texto proporcionado, tiene acceso completo al sistema de archivos y al shell. En ese contexto, cualquier mecanismo no divulgado que examine propiedades del sistema o la configuración del proxy resulta especialmente sensible.

El usuario de Reddit citado en el texto fuente describió la transmisión encubierta de datos del sistema y del proxy sin conocimiento del usuario como una vulneración fundamental de la confianza. El argumento no era solo que la función existiera, sino que utilizara señales ocultas a nivel de prompt en lugar de un flujo de aplicación de políticas claramente documentado. Para desarrolladores y equipos empresariales que evalúan herramientas de IA, esa distinción importa. La transparencia sobre qué se inspecciona, qué se transmite y por qué suele ser tan importante como el propio objetivo de seguridad.

La fuente también señala una objeción práctica: el mecanismo podría haber sido fácil de eludir para atacantes con experiencia, lo que plantea dudas sobre si los costes para la confianza superaban el beneficio técnico. Si una comprobación encubierta puede neutralizarse sin demasiada dificultad, el efecto restante puede recaer con más fuerza sobre usuarios comunes que sobre abusadores sofisticados.

La explicación de Anthropic

Según el texto proporcionado, Thariq Shihipar, empleado de Anthropic que trabaja en el equipo de Claude Code, describió la función en X como un experimento destinado a evitar el abuso de cuentas por parte de revendedores no autorizados y a proteger contra la destilación. También dijo que el equipo había implementado mitigaciones más sólidas y que ya planeaba eliminar el mecanismo anterior.

La respuesta reportada es relevante porque presenta el asunto como un control de seguridad interino y no como una política de producto a largo plazo. Anthropic, según la fuente, ya había incorporado un pull request para eliminar la función, y se esperaba la reversión en la siguiente versión del día siguiente. En ese relato, las señales ocultas del prompt no se defendían como una norma permanente o aceptable, sino que se trataban como una medida experimental que había superado su utilidad.

Aun así, la explicación no borra el problema de gobernanza que el episodio puso de manifiesto. Los equipos de seguridad suelen justificar controles temporales durante periodos de riesgo elevado. Pero cuando esos controles operan de forma invisible dentro de herramientas utilizadas por desarrolladores, el listón para la revisión interna, la divulgación y la auditoría se eleva considerablemente.

El trasfondo geopolítico más amplio

El texto fuente de The Decoder sitúa el problema de supervisión dentro de un contexto político y competitivo más amplio. Según el texto proporcionado, Anthropic no ofrece sus modelos en China por motivos de seguridad nacional. Al mismo tiempo, se dice que muchos desarrolladores chinos acceden a Claude mediante números de teléfono y tarjetas de crédito extranjeras.

El informe también señala que Anthropic ha acusado anteriormente a varias empresas chinas de IA, entre ellas DeepSeek, Moonshot AI, MiniMax y Alibaba, de usar salidas del modelo Claude sin permiso para entrenar sus propios modelos. Si esa preocupación forma parte del modelo de amenazas de la empresa, ayuda a explicar por qué los patrones de acceso vinculados a proxies y ubicación pudieron haber atraído un escrutinio especial.

Ese contexto es importante, pero no basta para resolver la cuestión del producto. Las empresas de IA operan cada vez más en la intersección del software comercial, los controles de exportación, la prevención del abuso de plataformas y la estrategia de protección de modelos. Las medidas diseñadas para un objetivo pueden generar nuevas responsabilidades en otros ámbitos, especialmente cuando la herramienta en cuestión funciona muy cerca de los sistemas del usuario y de los flujos de trabajo de desarrollo.

Por qué importa más allá de una sola función

El episodio ilustra una tensión más profunda en la infraestructura de IA. Los proveedores de modelos quieren frenar el fraude, la reventa no autorizada y la extracción de datos de entrenamiento. Los usuarios quieren herramientas capaces que se comporten de forma predecible y revelen con claridad su comportamiento de supervisión. A medida que los asistentes de programación con IA obtienen privilegios locales más potentes, esa tensión probablemente se intensifique.

Lo ocurrido con Claude Code es, por tanto, algo más que una vergüenza de producto de corta duración. Es una advertencia temprana sobre los estándares que se espera que cumpla la tecnología avanzada de IA. Los controles ocultos que quizá antes habrían pasado desapercibidos en un servicio web son más difíciles de justificar en un software que puede inspeccionar entornos locales y ejecutar comandos.

Para el mercado en general, la lección es clara: las funciones de seguridad en herramientas de IA orientadas a desarrolladores deben ser visibles, auditables y proporcionales a la amenaza que abordan. La supuesta reversión de Anthropic puede cerrar este capítulo concreto, pero no pondrá fin al debate más amplio sobre cuánta aplicación invisible tolerarán los usuarios de los sistemas cada vez más integrados en su trabajo.

Este artículo se basa en la cobertura de The Decoder. Leer el artículo original.

Originally published on the-decoder.com