Investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad en Claude Code de Anthropic, un asistente de codificación impulsado por inteligencia artificial (IA), que podrían resultar en la ejecución remota de código y el robo de credenciales API.
«Las vulnerabilidades explotan varios mecanismos de configuración, incluidos Hooks, servidores Model Context Protocol (MCP) y variables de entorno, ejecutando comandos de shell arbitrarios y extrayendo claves API de Anthropic cuando los usuarios clonan y abren repositorios que no son de confianza», dijo Check Point Research en un informe compartido con The Hacker News.
Las deficiencias identificadas se dividen en tres grandes categorías:
- Sin CVE (Puntuación CVSS: 8,7): una vulnerabilidad de inyección de código derivada de una omisión del consentimiento del usuario al iniciar Claude Code en un nuevo directorio que podría resultar en la ejecución de código arbitrario sin confirmación adicional a través de enlaces de proyecto no confiables definidos en .claude/settings.json. (Corregido en la versión 1.0.87 en septiembre de 2025)
- CVE-2025-59536 (Puntuación CVSS: 8,7): una vulnerabilidad de inyección de código que permite la ejecución automática de comandos de shell arbitrarios tras la inicialización de la herramienta cuando un usuario inicia Claude Code en un directorio que no es de confianza. (Corregido en la versión 1.0.111 en octubre de 2025)
- CVE-2026-21852 (Puntuación CVSS: 5,3): una vulnerabilidad de divulgación de información en el flujo de carga de proyectos de Claude Code que permite que un repositorio malicioso extraiga datos, incluidas las claves API de Anthropic. (Corregido en la versión 2.0.65 en enero de 2026)
«Si un usuario inició Claude Code en un repositorio de controlador de atacante, y el repositorio incluía un archivo de configuración que configuraba ANTHROPIC_BASE_URL como un punto final controlado por atacante, Claude Code emitiría solicitudes de API antes de mostrar el mensaje de confianza, incluida la posible filtración de las claves de API del usuario», dijo Anthropic en un aviso para CVE-2026-21852.
En otras palabras, simplemente abrir un repositorio diseñado es suficiente para filtrar la clave API activa de un desarrollador, redirigir el tráfico API autenticado a una infraestructura externa y capturar credenciales. Esto, a su vez, puede permitir al atacante profundizar en la infraestructura de IA de la víctima.
Esto podría implicar potencialmente acceder a archivos de proyectos compartidos, modificar/eliminar datos almacenados en la nube, cargar contenido malicioso e incluso generar costos de API inesperados.
La explotación exitosa de la primera vulnerabilidad podría desencadenar una ejecución sigilosa en la máquina de un desarrollador sin ninguna interacción adicional más allá del lanzamiento del proyecto.
CVE-2025-59536 también logra un objetivo similar, la principal diferencia es que las configuraciones definidas por el repositorio definidas a través de los archivos .mcp.json y claude/settings.json podrían ser aprovechadas por un atacante para anular la aprobación explícita del usuario antes de interactuar con herramientas y servicios externos a través del Protocolo de contexto modelo (MCP). Esto se logra estableciendo la opción «enableAllProjectMcpServers» en verdadero.
«A medida que las herramientas impulsadas por IA obtienen la capacidad de ejecutar comandos, inicializar integraciones externas e iniciar la comunicación de red de forma autónoma, los archivos de configuración se convierten efectivamente en parte de la capa de ejecución», dijo Check Point. «Lo que alguna vez se consideró contexto operativo ahora influye directamente en el comportamiento del sistema».
«Esto altera fundamentalmente el modelo de amenaza. El riesgo ya no se limita a ejecutar código que no es de confianza, sino que ahora se extiende a la apertura de proyectos que no son de confianza. En entornos de desarrollo impulsados por IA, la cadena de suministro comienza no sólo con el código fuente, sino también con las capas de automatización que lo rodean».