Vulnerabilidades en Claude Code exponen a ejecución remota y robo de claves API
Publicado el
Vulnerabilidades en Claude Code
Recientes investigaciones han revelado múltiples vulnerabilidades en Claude Code, un asistente de programación impulsado por inteligencia artificial de Anthropic. Estos fallos podrían permitir la ejecución remota de código y el robo de credenciales API, poniendo en riesgo la seguridad de los desarrolladores.
Según el informe de Check Point Research, las vulnerabilidades explotan diferentes mecanismos de configuración, como Hooks, servidores del Model Context Protocol (MCP) y variables de entorno. Esto permite la ejecución de comandos de shell arbitrarios y la exfiltración de claves API de Anthropic cuando los usuarios clonan y abren repositorios no confiables.
Clasificación de las vulnerabilidades
Los fallos identificados se agrupan en tres categorías principales:
1. Sin CVE (CVSS 8.7): Una vulnerabilidad de inyección de código que se origina en una omisión de consentimiento del usuario al iniciar Claude Code en un nuevo directorio. Esta falla puede resultar en la ejecución de código arbitrario sin confirmación adicional a través de Hooks de proyecto no confiables definidos en `.claude/settings.json`. Esta vulnerabilidad fue corregida en la versión 1.0.87, lanzada en septiembre de 2025.
2. CVE-2025-59536 (CVSS 8.7): Otra vulnerabilidad de inyección que permite la ejecución automática de comandos de shell arbitrarios al iniciar Claude Code en un directorio no confiable. Esta fue solucionada en la versión 1.0.111 en octubre de 2025.
3. CVE-2026-21852 (CVSS 5.3): Una vulnerabilidad de divulgación de información en el flujo de carga de proyectos de Claude Code, que permite a un repositorio malicioso exfiltrar datos, incluidas las claves API de Anthropic. Esta vulnerabilidad fue corregida en la versión 2.0.65 en enero de 2026.
Impacto potencial
Si un usuario inicia Claude Code en un repositorio controlado por un atacante que incluye un archivo de configuración que establece `ANTHROPIC_BASE_URL` a un punto de control del atacante, Claude Code enviará solicitudes API antes de mostrar el aviso de confianza, lo que puede llevar a la filtración de las claves API del usuario. En esencia, abrir un repositorio manipulado es suficiente para exfiltrar la clave API activa de un desarrollador, redirigir el tráfico API autenticado a una infraestructura externa y capturar credenciales.
Esto podría permitir que el atacante profundice en la infraestructura de IA de la víctima, accediendo a archivos de proyecto compartidos, modificando o eliminando datos almacenados en la nube, subiendo contenido malicioso e incluso generando costos inesperados en el uso de la API.
Conclusiones
La explotación exitosa de la primera vulnerabilidad puede provocar una ejecución encubierta en la máquina del desarrollador sin ninguna interacción adicional más allá del lanzamiento del proyecto. La CVE-2025-59536 logra un objetivo similar, aunque las configuraciones definidas en el repositorio a través de `.mcp.json` y `claude/settings.json` pueden ser utilizadas por un atacante para anular la aprobación explícita del usuario antes de interactuar con herramientas y servicios externos mediante el Model Context Protocol (MCP).
Check Point destacó que, a medida que las herramientas impulsadas por IA adquieren la capacidad de ejecutar comandos y realizar comunicaciones de red de manera autónoma, los archivos de configuración se convierten en parte de la capa de ejecución. Este cambio fundamental en el modelo de amenaza implica que el riesgo ya no se limita a ejecutar código no confiable, sino que se extiende a abrir proyectos no confiables. En entornos de desarrollo impulsados por IA, la cadena de suministro comienza no solo con el código fuente, sino también con las capas de automatización que lo rodean.