Investigadores de Check Point han identificado tres vulnerabilidades de alta criticidad en Claude Code, el asistente de inteligencia artificial para desarrolladores de Anthropic. Los fallos permitían desde la ejecución arbitraria de código en el equipo del desarrollador hasta el robo automatizado de claves API, sin que la víctima tuviera que lanzar manualmente ningún script sospechoso. El simple hecho de clonar y abrir un repositorio malicioso en Claude Code bastaba para activar los ataques.
El archivo .claude/settings.json: de herramienta colaborativa a vector de ataque en la supply chain
Claude Code utiliza un archivo de configuración específico, .claude/settings.json, almacenado directamente en el repositorio. Este mecanismo facilita que los equipos compartan parámetros comunes del asistente: acceso a servicios externos, hooks, servidores MCP y otras integraciones. Sin embargo, este diseño introduce una nueva capa en la cadena de suministro de software: cualquier colaborador con permisos de commit puede modificar silenciosamente la configuración y distribuir ajustes maliciosos al resto del equipo.
A diferencia del modelo tradicional, donde el riesgo se asociaba principalmente a ejecutar código desconocido o instalar dependencias no confiables, en Claude Code abrir un proyecto ya es una acción potencialmente peligrosa. El asistente confía por defecto en la configuración incluida junto al código, ampliando de forma significativa la superficie de ataque de los repositorios Git, tanto internos como de código abierto.
Vulnerabilidad 1: ejecución de código mediante hooks sin confirmación (CVSS 8,7)
La primera vulnerabilidad (sin identificador CVE público, con una puntuación de 8,7 en la escala CVSS) afectaba al mecanismo de hooks. Los hooks son comandos de shell definidos en la configuración del proyecto que Claude Code puede ejecutar automáticamente en distintas fases de trabajo. Los investigadores comprobaron que el asistente no solicitaba confirmación previa al usuario antes de lanzar esos comandos.
En la práctica, un atacante solo tenía que añadir un hook malicioso al archivo .claude/settings.json para que, al abrir el repositorio, se ejecutara código arbitrario en el entorno del desarrollador. En la demostración de Check Point se invocaba una aplicación de terceros, pero el mismo vector podría utilizarse para desplegar un reverse shell y obtener acceso remoto al sistema comprometido. Anthropic corrigió este fallo en Claude Code 1.0.87 (agosto de 2025), endureciendo el control sobre la ejecución de comandos definidos por el usuario.
Vulnerabilidad 2: bypass de confianza en servidores MCP (CVE-2025-59536, CVSS 8,7)
La segunda vulnerabilidad, registrada como CVE-2025-59536 y también valorada con 8,7 CVSS, afectaba al uso de servidores MCP (Model Context Protocol). Estos servidores actúan como puente entre Claude Code y herramientas o servicios externos. Tras el primer parche de seguridad, los investigadores detectaron que existían dos opciones de configuración capaces de aprobar automáticamente cualquier servidor MCP configurado en el proyecto, eludiendo por completo los diálogos de confirmación de confianza.
Lo especialmente crítico era que un MCP malicioso podía activarse durante el arranque de Claude Code, antes de que apareciera la ventana en la que el usuario confirma si confía en el proyecto. De ese modo, el servidor malicioso podría ejecutar comandos, leer archivos del repositorio o exfiltrar información hacia sistemas externos sin interacción adicional. Este problema se solventó en la versión 1.0.111, publicada en septiembre de 2025.
Vulnerabilidad 3: exfiltración de claves API mediante ANTHROPIC_BASE_URL (CVE-2026-21852)
La tercera vulnerabilidad, CVE-2026-21852, con una severidad media de 5,3 CVSS, estaba relacionada con la variable de entorno ANTHROPIC_BASE_URL, que define el endpoint al que Claude Code envía las peticiones al API de Anthropic. Los investigadores demostraron que era posible redefinir este parámetro desde la configuración del proyecto, redirigiendo todo el tráfico del asistente a través de un proxy controlado por el atacante.
El análisis del tráfico interceptado reveló que las claves API se transmitían en texto claro en cada petición. Además, según Anthropic, estas solicitudes se efectuaban incluso antes de mostrar al usuario la ventana de confianza del proyecto, automatizando por completo la filtración del secreto. Una clave API comprometida permitía acceder a todos los archivos del espacio de trabajo asociado a Claude Code, con capacidad para subir, borrar o modificar contenido a través del API. La corrección de este fallo llegó con Claude Code 2.0.65, en enero de 2026.
Asistentes de IA como nueva superficie de ataque en el ciclo de desarrollo seguro
Las tres vulnerabilidades ilustran una tendencia emergente: los asistentes de IA para desarrolladores se han convertido en una superficie de ataque de primer nivel. A diferencia de muchas IDE tradicionales, estos asistentes suelen tener acceso simultáneo a código fuente, sistema de archivos local, recursos de red y secretos sensibles como tokens y claves API. Como consecuencia, abrir un repositorio no confiable en Claude Code puede derivar en ejecución de código, robo de credenciales o acceso no autorizado a activos críticos del proyecto.
Recomendaciones de ciberseguridad para equipos de desarrollo y seguridad
En primer lugar, resulta esencial auditar el contenido de los archivos de configuración como .claude/settings.json antes de utilizarlos, especialmente en repositorios externos o de código abierto. La revisión debe incluir hooks, servidores MCP definidos y cualquier parámetro que afecte a endpoints o variables de entorno.
En segundo lugar, es recomendable limitar al máximo los privilegios de las claves API, aplicando el principio de mínimo privilegio y utilizando credenciales diferenciadas para desarrollo, con límites de uso claros y mecanismos de revocación rápidos.
En tercer lugar, los equipos deberían ejecutar asistentes de IA en entornos aislados (sandbox, contenedores o perfiles de sistema separados), de forma que un posible compromiso no se traduzca automáticamente en acceso al resto del puesto de trabajo o a otros recursos corporativos.
En cuarto lugar, es crítico mantener Claude Code actualizado a versiones recientes (no inferiores a la 2.0.65) y seguir de cerca los boletines de seguridad del proveedor, integrando estas actualizaciones en los procesos habituales de gestión de parches.
Por último, la formación de los desarrolladores debe incorporar concienciación específica sobre riesgos de asistentes de IA: impacto de abrir proyectos no confiables, peligros de la ejecución automática de configuraciones y buenas prácticas en gestión de secretos y configuraciones de proyecto.
Los incidentes descubiertos en Claude Code muestran que, en la era de la inteligencia artificial aplicada al desarrollo, los archivos de configuración, los mecanismos de confianza y las claves API son ya activos tan críticos como el propio código fuente. Las organizaciones que adapten sus modelos de amenaza, traten a los asistentes de IA como aplicaciones altamente privilegiadas y fortalezcan sus controles de seguridad sobre estos entornos reducirán de forma significativa su exposición a ataques cada vez más sofisticados contra la cadena de desarrollo. Es un momento idóneo para revisar políticas, herramientas y formación interna, y dar a la seguridad de los asistentes de IA el mismo nivel de prioridad que al resto de la infraestructura de desarrollo.
