Cursor Composer 2 era secretamente chino: el editor de código que usan miles de devs en México fue entrenado sobre Kimi K2.5 de Moonshot AI

El 19 de marzo, Cursor anunció Composer 2 con todo el orgullo de una empresa que acaba de construir algo propio. “Inteligencia de programación de nivel frontier”, dijeron. Su primer modelo entrenado internamente. Prueba de que Anysphere ya no solo era un fork de VS Code con IA pegada, sino un laboratorio de investigación de verdad.

Duró menos de 24 horas.

Un developer llamado Fynn montó un proxy local para interceptar el tráfico de la API de Cursor, y ahí estaba el model ID en texto plano: accounts/anysphere/models/kimi-k2p5-rl-0317-s515-fast. Composer 2 no era el modelo propio de Cursor. Era Kimi K2.5, el modelo open source de Moonshot AI, una startup china respaldada por Alibaba, Tencent y HongShan.

No mames.

Qué es Kimi K2.5 y por qué importa que sea chino

Kimi K2.5 es un modelo con arquitectura Mixture-of-Experts de 1 billón de parámetros totales (activa 32 mil millones por request), lanzado en enero de 2026. Está disponible en Hugging Face, tiene licencia Modified MIT y en benchmarks de código le planta cara a cualquiera. Cursor lo confirmó después del escándalo: Lee Robinson, VP de developer education, admitió que “Composer 2 comenzó desde una base open source”, con aproximadamente un cuarto del cómputo viniendo del modelo base de Moonshot.

El detalle que hace que esto se ponga feo: en diciembre de 2025, el Center for AI Standards and Innovation del Departamento de Comercio de EUA publicó una evaluación de Moonshot y el modelo Kimi K2, y los marcó explícitamente por riesgos de seguridad nacional. Los mismos que colaboran con OpenAI y Anthropic para evaluar IA dijeron: esta empresa china representa “la creciente profundidad” de la industria de IA de China.

Y Cursor usó ese modelo base sin decirle nada a nadie.

Los benchmarks eran reales, la transparencia no

Para ser justos con los números: Composer 2 sí jalaba bien. En Terminal-Bench 2.0 sacó 61.7% contra el 59.2% de Claude Opus. En SWE-bench Multilingüe llegó a 73.7% frente al 71% de Opus. Y todo esto a $0.50 por millón de tokens de entrada y $2.50 de salida, diez veces más barato que Opus.

Pero el problema nunca fue el rendimiento. Fue la omisión deliberada.

VentureBeat lo documentó bien: Cursor se presentó como empresa de investigación seria, no como “un fork de alguien más”. Admitir que Composer 2 arrancaba desde Kimi habría contradecido exactamente esa narrativa. Y con una valuación de $29.3 mil millones en juego, la narrativa importa.

Además hay un problema de licencia heavy: la Modified MIT de Kimi K2.5 requiere que cualquier producto comercial con más de $20 millones de ingresos mensuales muestre prominentemente “Kimi K2.5” en su interfaz. Cursor genera alrededor de $160 millones al mes, ocho veces ese umbral. No pusieron ni una línea de crédito.

Qué significa esto para devs mexicanos que usan Cursor

Aquí es donde se pone relevante para nosotros, porque Cursor ya no es un nicho. Mercado Libre, Coinbase, Datadog y varias empresas grandes lo usan en producción. Si estás en una empresa mexicana que maneja código propietario, eso debería hacerte pensar.

El tema de fondo es la soberanía de datos. Cuando mandas código a Cursor para que te ayude a debuggear, ese prompt tiene que llegar a algún servidor. Si el modelo base viene de una empresa china, la pregunta natural es: ¿a través de qué infraestructura pasa eso? ¿Bajo qué marco legal se procesa?

Security Boulevard lo explica bien: empresas en industrias reguladas podrían estar violando requisitos de soberanía de datos sin saberlo, solo por usar una herramienta que ruta a proveedores en jurisdicciones consideradas de alto riesgo. Y el problema real es que la mayoría de los equipos de Legal y Compliance ni enterados están de qué modelo está corriendo bajo el IDE que usa su equipo de desarrollo.

Esto es Shadow AI en el nivel más concreto: tu CTO sabe que usan Cursor, pero nadie sabe que ese Cursor le mandaba prompts a Kimi K2.5 de Moonshot.

Vale recordar que no es la primera vez que una empresa tech expone datos de usuarios sin que lo sepan, como vimos con el escándalo de privacidad de Meta con sus lentes inteligentes. La diferencia aquí es que el código fuente de tu empresa puede ser mucho más sensible que tu cara en una foto.

¿Cursor sigue siendo buena herramienta o ya hay que desconfiar?

La neta, Cursor sigue siendo de las mejores opciones para programar con IA. El editor en sí es sólido, el Tab completion funciona de maravilla y los flujos de agente son genuinamente útiles. El Plan Pro cuesta unos $20 USD al mes (alrededor de $400 pesos), y el Business anda en $40 por usuario.

Pero este incidente revela algo más profundo sobre el ecosistema de herramientas IA para developers: no siempre sabes qué modelo corre bajo el capó. Y en 2026, con el contexto geopolítico actual, eso ya no es un detalle menor.

La recomendación práctica para equipos en México que manejan código propietario o datos sensibles: revisen las políticas de privacidad y data processing de cada herramienta IA que usen, pregunten directamente qué modelos se usan y bajo qué infraestructura, y exijan transparencia antes de que algún dev del equipo lo tenga que descubrir con un proxy de debug.

Esto conecta también con el debate más amplio que hemos visto esta semana sobre qué tan dependientes son las empresas occidentales de IA de modelos e infraestructura que no controlan. Si le interesa ese contexto, vale leer nuestro análisis sobre cómo la guerra en Irán conecta el helio de Qatar, los semiconductores y la estabilidad del boom de IA.

El daño real es de confianza

Composer 2 todavía existe. Cursor no lo bajó. La herramienta sigue funcionando. Pero algo se rompió: la narrativa de que Anysphere era ya un laboratorio serio de modelos propios se fue al carajo en 24 horas gracias a un proxy de debug y un model ID sin ofuscar.

La comunidad dev lo resumió bien en Hacker News: si el modelo era bueno, ¿por qué no decir desde el principio que se construyó sobre Kimi? La respuesta incómoda es que admitirlo habría debilitado exactamente la imagen que Cursor necesitaba proyectar para justificar su valuación de $29 mil millones.

Es re trucho, la verdad.

La próxima vez que un editor IA te diga que tiene “modelo propio entrenado internamente”, ya sabes qué hacer: busca un proxy de debug, intercepta el tráfico, y checa el model ID. En 2026, la transparencia se consigue así.

¿Tu empresa usa Cursor para código propietario? ¿Ya checaron la política de privacidad? Tírense al comments.

Fuentes

• Cursor admits its new coding model was built on top of Moonshot AI’s Kimi - TechCrunch
• Cursor’s Composer 2 was secretly built on a Chinese AI model - VentureBeat
• Cursor AI Admits Composer 2 Was Built on Moonshot’s Kimi Tech - eWEEK
• Moonshot AI governance breakdown: Lessons from the Cursor/Kimi K2.5 incident - Security Boulevard
• Cursor Composer 2 is just Kimi K2.5 with RL - Hacker News
• Cursor’s Composer 2 beats Opus 4.6 on coding benchmarks - The New Stack