Las herramientas para desarrolladores siempre recopilaron telemetría. Claude Code es la primera herramienta de amplio despliegue que recopila telemetría sobre lo que hizo en tu nombre — y cuando su código fuente se filtró el 31 de marzo, los números hicieron visible la categoría: 640 eventos de telemetría. 40 dimensiones de fingerprint. Cada 5 segundos.
640 Eventos, 40 Dimensiones, Cada 5 Segundos
Anthropic publicó accidentalmente la versión 2.1.88 del paquete npm de Claude Code con un archivo source map de JavaScript de 59,8 MB incluido. El investigador de seguridad Chaofan Shou lo encontró en cuestión de horas. Su publicación alcanzó 28,8 millones de visualizaciones antes de que comenzaran las solicitudes de baja por derechos de autor:
513.000 líneas de TypeScript sin ofuscar en 1.906 archivos. La arquitectura de telemetría era lo suficientemente específica como para cuantificarse:
Al iniciar, el servicio de análisis de Claude Code envía a casa: ID de usuario, ID de sesión, UUID de cuenta, UUID de organización, dirección de correo electrónico, versión de la app, plataforma, tipo de terminal y feature gates habilitados. La llamada API que se activa en cada interacción — tengu_api_query — transmite la longitud del mensaje, la longitud en bytes serializada en JSON del prompt del sistema y el esquema completo de las herramientas activas. Esto ocurre cada 5 segundos mientras trabajas, y se guarda en ~/.claude/telemetry/ si estás sin conexión.
El fingerprint no es solo analítica. Es el mecanismo de control. Cuando un suscriptor de pago inicia sesión desde un cuarto dispositivo, la discrepancia desencadena un bloqueo permanente de la cuenta — sin apelación, sin reembolso. La misma dimensión de fingerprint que impide el uso compartido de cuentas también registra cada dispositivo en el que hayas abierto la herramienta.
También estaba el módulo CHICAGO — el Computer Use de Claude para macOS — confirmado en el código fuente filtrado. Cuando está activo, Claude Code puede acceder al escritorio, las entradas del ratón, el teclado, las capturas de pantalla y el portapapeles. El código lo describía como la capacidad subyacente de CoWork. Requiere permisos explícitos de macOS para activarse. La mayoría de los usuarios nunca habían oído hablar de él.
La Cascada de 48 Horas
La respuesta de la comunidad siguió su forma predecible: las personas mejor posicionadas para quejarse eran las mismas capaces de actuar. A pocas horas del filtrado, investigadores publicaron un análisis técnico completo del sistema de firma — una capa de atestación criptográfica integrada en la pila HTTP nativa de Bun, escrita en Zig en lugar de JavaScript específicamente porque el código JavaScript puede ser "monkey-patched" y el código Zig compilado en el runtime no puede. Cada solicitud saliente a la API contenía un marcador de posición cch= que Zig sobreescribía con un xxHash64 calculado antes de la transmisión. La semilla estaba integrada en el binario compilado.
Duró lo que dura un día:
El sistema de firma — diseñado para garantizar que solo los binarios genuinos de Claude Code pudieran acceder a las suscripciones de Anthropic — fue completamente vulnerado mediante ingeniería inversa por @ssslomp y @paoloanzn. Una prueba de concepto funcional en Python, usando Python puro y la biblioteca xxhash sin el binario de Bun, fue publicada e integrada en clientes abiertos. La constante de semilla, el algoritmo de hash, el esquema de sufijos de versión y la ruta de credenciales del keychain de macOS quedaron documentados públicamente.
Simultáneamente, OpenCode apareció:
OpenCode ya existía antes del filtrado, pero se benefició directamente de él. Construido sobre Go, admite más de 75 proveedores de modelos — Claude, GPT, Gemini, DeepSeek, modelos locales vía Ollama — usando undo/redo basado en git en lugar de snapshots propietarios. El inconveniente es real: los usuarios de OpenCode que acceden a Claude pagan tarifas de API, no las tarifas de la suscripción Claude Max. El fork es técnicamente completo. La economía no lo es.
La Defensa de la Práctica Estándar
El contraargumento más sólido a la indignación es que nada de esto resulta exótico. VS Code recopila telemetría. Chrome reporta a casa. GitHub Copilot recopila explícitamente datos de interacción, incluidas entradas y salidas, para mejorar versiones futuras. La infraestructura de telemetría de Claude Code — antes Statsig, ahora GrowthBook — es la misma plataforma que usan miles de productos SaaS para pruebas A/B y feature flags. El sistema de firma existe porque el control de acceso por suscripción es un mecanismo legítimo contra el abuso. El módulo CHICAGO requiere opt-in y está documentado.
Todos y cada uno de esos argumentos son válidos. La arquitectura es estándar. Los propósitos son legítimos. Los desarrolladores que trabajan con software instrumentado lo saben perfectamente. Y sin embargo, la reacción no fue "acepto estos compromisos" — fue un sistema de firma vulnerado en 24 horas, 41.500 forks en GitHub antes de las solicitudes DMCA y un proyecto proxy construido de la noche a la mañana para redirigir llamadas API a través de un fingerprint canónico que nunca muestra tu dispositivo real.
La pregunta no es si la indignación fue proporcionada a la telemetría. La pregunta es qué nos dice sobre dónde se sitúa la línea del consentimiento para una nueva categoría de herramienta.
La Distinción
Pues bien, la diferencia estructural es esta: VS Code no lee tus archivos. No ejecuta comandos de shell. No toma capturas de pantalla de tu escritorio. No escribe código en tu repositorio ni hace push. La telemetría que recopila VS Code registra cómo usaste la interfaz. La telemetría que recopila Claude Code registra — al menos en su arquitectura de telemetría — el contexto de lo que el agente hizo en tu nombre.
El mismo código que dispara tengu_api_query con la longitud en bytes de tu prompt del sistema es el que gestiona un bucle de agente que puede haber leído 40 archivos, ejecutado 12 comandos de shell y realizado commits en tu rama principal. El fingerprint que podría bloquearte por abrir la app en un cuarto dispositivo forma parte del mismo sistema que ejecuta tareas autónomas mientras duermes.
Esta distinción no es de vigilancia — es de responsabilidad. Cuando el software tiene agencia — cuando actúa, no solo responde — la telemetría que registra sus acciones tiene un carácter distinto al de la telemetría que registra los clics de tu ratón. La comunidad de desarrolladores, que aceptaba instintivamente la telemetría de VS Code, se movilizó de inmediato para construir proxies, forks y clientes alternativos. No porque los números fueran peores, sino porque el modelo mental de lo que era la herramienta cambió lo que la telemetría significaba.
La Brecha de Seguridad
La misma semana de la filtración de Claude Code, una auditoría de ZeroLeaks sobre OpenClaw devolvió una puntuación que hizo concreto lo abstracto:
2/100. Tasa de extracción de datos del 84%. Tasa de éxito de ataques de inyección del 91%. El prompt del sistema filtrado en el primer turno. Esto no es un problema de Claude Code — OpenClaw es un producto de agente independiente. Pero la coincidencia temporal captura la misma brecha estructural. La capacidad llegó. Los primitivos de seguridad, no.
Adicionalmente: más de 220.000 instancias de OpenClaw ejecutándose en IPs públicas sin autenticación en el puerto 18789. Cualquiera que conociera la dirección IP podía acceder directamente al agente. Mighty publicó una capa de seguridad "Citadel Guard" de código abierto como respuesta — latencia inferior a 50 ms, licencia MIT — porque la brecha era lo suficientemente real como para que dejarla abierta no fuera una opción.
La Imagen Especular
La ironía estructural llega con DeepSeek. Anthropic alegó que DeepSeek, MiniMax y Moonshot utilizaron 24.000 cuentas falsas para generar 16 millones de interacciones con Claude a través de redes proxy — lo que se denomina "destilación": usar las salidas de un modelo para entrenar otro. DeepSeek por sí solo acumuló más de 150.000 intercambios.
La respuesta del desarrollador Peter O'Mallet fue precisa en su ironía:
Si Anthropic vigila tus conversaciones como parte de su arquitectura antiabuso, y un competidor extranjero extrajo 150.000 de esas conversaciones mediante cuentas falsas, y tu respuesta es publicar 155.000 de tus propios mensajes como acto de liberación de datos — has capturado el momento exactamente. La telemetría que debía proteger el sistema terminó siendo el activo que el adversario extrajo, y la respuesta del usuario fue hacer que esa extracción resultara irrelevante publicando los datos él mismo.
El Marco que Falta
El marco de consentimiento que rige VS Code se construyó a lo largo de treinta años de herramientas pasivas para desarrolladores. Instalas el software. El software observa lo que haces con él. El software mejora. Todos aceptan esto porque los datos fluyen en una sola dirección: de la acción del usuario al sistema de telemetría.
Claude Code invirtió eso. Los datos ahora fluyen desde la acción del agente — lo que la herramienta hizo — al sistema de telemetría. La herramienta actúa. La herramienta informa. El usuario es el operador, no solo el usuario. Los archivos que el agente leyó, los comandos que ejecutó, el contexto que ensambló — todo eso está presente en la arquitectura de telemetría.
El sistema de firma fue vulnerado en 24 horas. El fork se lanzó en 48. La auditoría devolvió 2/100. Cada uno es la misma señal: el campo desplegó capacidad agéntica antes de construir la capa de confianza.
Esto no es una crítica específica a Anthropic. Todos los agentes de codificación con IA relevantes están navegando la misma brecha. La capacidad de ejecutar bucles de agente nocturnos, realizar commits de código de forma autónoma, gestionar bases de código de extremo a extremo — todo ello llegó antes que los marcos de consentimiento, los estándares de auditoría de seguridad y la lógica de protección de cuentas diseñados para esta categoría. La puntuación 2/100 de ZeroLeaks no es un escándalo. Es una medición. La brecha existe. El campo lo sabe. Y los desarrolladores con la reacción más sofisticada ante la filtración de Claude Code — no indignación, sino forks, proxies y herramientas de auditoría — son quienes están construyendo los primitivos sobre los que correrá la próxima generación de agentes.
La pregunta no es si los agentes de codificación con IA recopilarán telemetría. Lo harán. La pregunta es si la arquitectura de telemetría para software que tiene agencia se parecerá a la arquitectura de telemetría para software que no la tiene. Hoy en día, sí se parece. Ese es el problema de la telemetría.
Más sobre Anthropic, seguridad de agentes de IA y seguridad en IA. Explora la cobertura de entidades en la API Pulse.