Anthropic revertirá una función encubierta de Claude Code después de que la comunidad la denunciara con dureza en redes sociales. La compañía confirmó que la característica, en producción desde el 2 de abril de 2026 (versión 2.1.91), marcaba de forma silenciosa a usuarios ubicados en China, conectados a un proxy chino o vinculados a algún laboratorio local de inteligencia artificial.
El mecanismo lo destapó un post en Reddit del usuario LegitMichel777. Según su análisis, Claude Code venía revisando si el timezone del sistema coincidía con "Asia/Shanghai" o "Asia/Urumqi", si la URL del proxy activo apuntaba a dominios .cn y si el tráfico salía hacia labs conocidos de IA en el país.
¿Cómo funcionaba el rastreo?
La señal viajaba dentro del propio system prompt mediante una forma sutil de esteganografía. Dependiendo del resultado del chequeo, la herramienta ajustaba el formato de la fecha y reemplazaba el apóstrofo en la frase "Today's date is" por un carácter tipográfico ligeramente distinto. El usuario no percibía cambio alguno; Anthropic, en cambio, podía leer la diferencia al instante en la conversación posterior.
Para tapar el rastro, el código estaba ofuscado con cifrado XOR usando la clave 91, lo que impedía que apareciera al hacer un simple text dump sobre el binario. Las notas de release de la versión 2.1.91 no mencionaban ninguna revisión de este tipo.
LegitMichel777 calificó la transmisión encubierta de datos del sistema y del proxy sin conocimiento del usuario como "una violación fundamental de la confianza". Recordó, además, que Claude Code tiene acceso pleno al filesystem y al shell del equipo, lo que abre la puerta a abusos que van desde el control remoto hasta la exfiltración de datos. Sumó una crítica técnica adicional: la verificación es trivial de evadir para un atacante con algo de experiencia, lo que pone en duda su utilidad real.
¿Qué dice Anthropic sobre el hallazgo?
Thariq Shihipar, ingeniero del equipo de Claude Code, respondió en X que la funcionalidad "fue un experimento que lanzamos en marzo, pensado para prevenir abuso de cuentas por revendedores no autorizados y para protegernos contra la distillation", es decir, el entrenamiento de modelos de terceros usando salidas del modelo grande.
El mismo Shihipar reconoció que su equipo había desplegado mitigaciones más fuertes hace un tiempo y que la eliminación estaba pendiente.
"Ya mergeamos el pull request y el rollback completo debiera llegar con el próximo release", escribió el ingeniero.
China, exportaciones y distillation
Anthropic no ofrece sus modelos en China por razones que la propia empresa asocia a la seguridad nacional estadounidense. Aun así, muchos desarrolladores chinos acceden a Claude usando teléfonos y tarjetas de crédito extranjeras. Anthropic había acusado previamente a DeepSeek, Moonshot AI, MiniMax y Alibaba de utilizar salidas de sus modelos sin permiso para entrenar propios sistemas de lenguaje.
¿Qué implica para desarrolladores en Chile y LatAm?
Para equipos latinoamericanos que integran Claude Code en sus flujos, el episodio deja una lección directa: cualquier cliente cerrado con acceso al filesystem y al shell puede incorporar telemetría no documentada, incluso cuando el proveedor mantiene una narrativa fuerte de seguridad. Herramientas comparables como Aider o Cursor también dependen del código de la app cliente, no sólo del modelo. Auditar cada release, calzar los hashes publicados y revisar los binarios con análisis estático (por ejemplo con radare2 o Ghidra) sigue siendo prudente cuando el proveedor no libera su código fuente.




