Los investigadores de ciberseguridad tienen divulgado múltiples vulnerabilidades de seguridad en Claude Code de Anthropic, un asistente de codificación impulsado por inteligencia artificial (IA), que podrían provocar la ejecución remota de código y el robo de credenciales de API.

«Las vulnerabilidades explotan varios mecanismos de configuración, incluidos los enlaces, los servidores del Model Context Protocol (MCP) y las variables de entorno, ejecutando comandos de shell arbitrarios y extrayendo claves de API antrópicas cuando los usuarios clonan y abren repositorios que no son de confianza», dijo Check Point Research dijo en un informe compartido con The Hacker News.

Las deficiencias identificadas se clasifican en tres categorías amplias:

  • Sin CVE (Puntuación CVSS: 8.7): una vulnerabilidad de inyección de código derivada de una omisión del consentimiento del usuario al iniciar Claude Code en un directorio nuevo que podría provocar la ejecución de código arbitrario sin confirmación adicional por no ser de confianza ganchos para proyectos definido en .claude/settings.json. (Corregido en la versión 1.0.87 de septiembre de 2025)
  • CVE-2025-59536 (Puntuación CVSS: 8.7): vulnerabilidad de inyección de código que permite la ejecución automática de comandos de shell arbitrarios al inicializar la herramienta cuando un usuario inicia Claude Code en un directorio que no es de confianza. (Se corrigió en la versión 1.0.111 de octubre de 2025)
  • CVE-2026-21852 (Puntuación CVSS: 5.3): una vulnerabilidad de divulgación de información en el flujo de carga de proyectos de Claude Code que permite a un repositorio malintencionado filtrar datos, incluidas las claves de API de Anthropic. (Se corrigió en la versión 2.0.65 de enero de 2026)
adsense

«Si un usuario iniciaba Claude Code en un repositorio de controladores de atacantes y el repositorio incluía un archivo de configuración que configuraba ANTHROPIC_BASE_URL en un punto final controlado por el atacante, Claude Code emitiría solicitudes de API antes de mostrar la solicitud de confianza, incluida la posibilidad de que se filtraran las claves de API del usuario», afirma Anthropic en un aviso para el CVE-2026-21852.

En otras palabras, basta con abrir un repositorio diseñado para filtrar la clave de API activa de un desarrollador, redirigir el tráfico de API autenticado a una infraestructura externa y capturar las credenciales. Esto, a su vez, puede permitir al atacante adentrarse más profundamente en la infraestructura de inteligencia artificial de la víctima.

Esto podría implicar el acceso a archivos de proyectos compartidos, la modificación o eliminación de datos almacenados en la nube, la carga de contenido malintencionado e incluso la generación de costos de API inesperados.

La explotación exitosa de la primera vulnerabilidad podría provocar una ejecución sigilosa en la máquina de un desarrollador sin ninguna interacción adicional más allá del lanzamiento del proyecto.

El CVE-2025-59536 también logra un objetivo similar, con la principal diferencia de que un atacante podría aprovechar las configuraciones definidas por el repositorio definidas mediante el archivo .mcp.json y claude/settings.json para anular la aprobación explícita del usuario antes de interactuar con herramientas y servicios externos a través del Protocolo de contexto modelo (MCP). Esto se logra mediante la configuración del» Habilitar todos los servidores Project MCP «opción a la verdad.

«A medida que las herramientas impulsadas por la inteligencia artificial adquieren la capacidad de ejecutar comandos, inicializar integraciones externas e iniciar la comunicación de red de forma autónoma, los archivos de configuración pasan a formar parte de la capa de ejecución», afirma Check Point. «Lo que antes se consideraba un contexto operativo ahora influye directamente en el comportamiento del sistema».

«Esto altera radicalmente el modelo de amenazas. El riesgo ya no se limita a ejecutar código que no sea de confianza, sino que ahora se extiende a la apertura de proyectos que no son de confianza. En los entornos de desarrollo impulsados por la inteligencia artificial, la cadena de suministro comienza no solo con el código fuente, sino también con las capas de automatización que lo rodean».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.