Investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad en Claude Code de Anthropic, un asistente de codificación impulsado por inteligencia industrial (IA), que podrían resultar en la ejecución remota de código y el robo de credenciales API.
“Las vulnerabilidades explotan varios mecanismos de configuración, incluidos Hooks, servidores Model Context Protocol (MCP) y variables de entorno, ejecutando comandos de shell arbitrarios y extrayendo claves API de Anthropic cuando los usuarios clonan y abren repositorios que no son de confianza”, dijo Check Point Research en un mensaje compartido con The Hacker News.
Las deficiencias identificadas se dividen en tres grandes categorías:
- Sin CVE (Puntuación CVSS: 8,7): una vulnerabilidad de inyección de código derivada de una omisión del consentimiento del adjudicatario al iniciar Claude Code en un nuevo directorio que podría resultar en la ejecución de código parcial sin confirmación adicional a través de enlaces de tesina no confiables definidos en .claude/settings.json. (Corregido en la lectura 1.0.87 en septiembre de 2025)
- CVE-2025-59536 (Puntuación CVSS: 8,7): una vulnerabilidad de inyección de código que permite la ejecución cibernética de comandos de shell arbitrarios tras la inicialización de la útil cuando un adjudicatario inicia Claude Code en un directorio que no es de confianza. (Corregido en la lectura 1.0.111 en octubre de 2025)
- CVE-2026-21852 (Puntuación CVSS: 5,3): una vulnerabilidad de divulgación de información en el flujo de carga de proyectos de Claude Code que permite que un repositorio desconfiado extraiga datos, incluidas las claves API de Anthropic. (Corregido en la lectura 2.0.65 en enero de 2026)
“Si un adjudicatario inició Claude Code en un repositorio de regulador de atacante, y el repositorio incluía un archivo de configuración que configuraba ANTHROPIC_BASE_URL como un punto final controlado por atacante, Claude Code emitiría solicitudes de API antiguamente de mostrar el mensaje de confianza, incluida la posible filtración de las claves de API del adjudicatario”, dijo Anthropic en un aviso para CVE-2026-21852.
En otras palabras, simplemente destapar un repositorio diseñado es suficiente para filtrar la secreto API activa de un desarrollador, redirigir el tráfico API autenticado a una infraestructura externa y capturar credenciales. Esto, a su vez, puede permitir al atacante profundizar en la infraestructura de IA de la víctima.
Esto podría implicar potencialmente conseguir a archivos de proyectos compartidos, modificar/eliminar datos almacenados en la montón, cargar contenido desconfiado e incluso suscitar costos de API inesperados.
La explotación exitosa de la primera vulnerabilidad podría desencadenar una ejecución sigilosa en la máquina de un desarrollador sin ninguna interacción adicional más allá del propagación del tesina.
CVE-2025-59536 todavía logra un objetivo similar, la principal diferencia es que las configuraciones definidas por el repositorio definidas a través de los archivos .mcp.json y claude/settings.json podrían ser aprovechadas por un atacante para anular la aprobación explícita del adjudicatario antiguamente de interactuar con herramientas y servicios externos a través del Protocolo de contexto maniquí (MCP). Esto se logra estableciendo la opción “enableAllProjectMcpServers” en real.
“A medida que las herramientas impulsadas por IA obtienen la capacidad de ejecutar comandos, inicializar integraciones externas e iniciar la comunicación de red de forma autónoma, los archivos de configuración se convierten efectivamente en parte de la capa de ejecución”, dijo Check Point. “Lo que alguna vez se consideró contexto eficaz ahora influye directamente en el comportamiento del sistema”.
“Esto altera fundamentalmente el maniquí de amenaza. El aventura ya no se limita a ejecutar código que no es de confianza, sino que ahora se extiende a la transigencia de proyectos que no son de confianza. En entornos de mejora impulsados por IA, la sujeción de suministro comienza no sólo con el código fuente, sino todavía con las capas de automatización que lo rodean”.
