Se ha emitido un boletín de seguridad de alta prioridad para la comunidad de desarrolladores y equipos de DevSecOps tras la divulgación de múltiples vulnerabilidades críticas en Claude Code, el asistente de programación agentil impulsado por IA y herramienta de línea de comandos (CLI) de Anthropic. Investigadores descubrieron fallas estructurales en el orden de carga de configuraciones del entorno (destacando CVE-2025-59536, CVE-2026-21852 y CVE-2026-33068) permiten a un atacante lograr la Ejecución Remota de Código (RCE) y la exfiltración de llaves de API con el simple acto de clonar un repositorio malicioso. La gravedad del hallazgo radica en que el ataque se ejecuta silenciosamente antes de que el usuario pueda ver o interactuar con el cuadro de diálogo de confianza (Workspace Trust Dialog), rompiendo la principal barrera de seguridad de la herramienta.
Anatomía del Ataque (Evasión del Límite de Confianza)
El vector de ataque no es una “inyección de prompts” algorítmica ni una alucinación del modelo, sino una vulnerabilidad clásica de diseño de software (carga prematura) aplicada a un entorno de IA:
- Manipulación del Repositorio: El atacante crea un proyecto público (o troyaniza uno legítimo) inyectando configuraciones maliciosas. Esto se logra alterando los “Hooks” de ejecución dentro del archivo oculto .claude/settings.json, manipulando servidores del Protocolo de Contexto de Modelos (MCP) o envenenando las configuraciones locales de git.
- Inicialización Prematura: Cuando la víctima clona el repositorio y ejecuta el comando claude en su terminal para iniciar la asistencia, la herramienta comienza a leer inmediatamente los archivos locales del directorio para preparar el contexto del modelo.
- Bypass del “Trust Dialog”: El defecto crítico radicaba en que Claude Code procesaba y ejecutaba estas configuraciones (como scripts de Hooks o comandos de git status que leen variables envenenadas) antes de presentar en pantalla la advertencia de seguridad. El código malicioso del atacante se detonaba de forma automática sin requerir la confirmación, interacción o consentimiento del desarrollador.
Impacto (Riesgo en el Entorno de Ingeniería y Cadena de Suministro)
- Compromiso Total del Entorno Local (RCE): Al ejecutarse silenciosamente en la terminal, la carga útil hereda los permisos del desarrollador. El atacante puede inyectar backdoors, alterar el código fuente que posteriormente irá a producción o establecer persistencia en la estación de trabajo corporativa.
- Exfiltración Transparente de Credenciales: La vulnerabilidad CVE-2026-21852 permitía que, al reconfigurar la URL base dentro de los ajustes manipulados (ANTHROPIC_BASE_URL), todo el tráfico de la API de la CLI fuera redirigido a la infraestructura del cibercriminal. Esto capturaba en texto plano el token de autenticación del desarrollador antes de que este pudiera notar la anomalía, permitiendo a los atacantes consumir créditos corporativos o infiltrarse en la infraestructura de IA de la empresa.
Recomendaciones y Mitigación
Para proteger los endpoints de los ingenieros y asegurar la integridad del ciclo de desarrollo (SDLC), se debe aplicar el siguiente plan:
- Actualización Mandatoria (Prioridad Cero): Los desarrolladores deben actualizar inmediatamente su cliente CLI de Claude Code a las versiones parcheadas más recientes (por ejemplo, las ramas 2.0.65, 2.1.53 o superiores). Anthropic ya ha modificado la arquitectura de inicialización para garantizar que el Trust Dialog bloquee estrictamente cualquier lectura de archivos de configuración o ejecución de comandos del sistema previa a la confirmación humana.
- Inspección Previa (Zero Trust Local): Se debe establecer como política prohibir la inicialización de herramientas agentiles (sean de Anthropic, GitHub Copilot u otras) dentro de repositorios de terceros recién clonados sin antes realizar una auditoría visual manual de los directorios ocultos (como .claude/) en busca de scripts o variables de entorno sospechosas.
- Aislamiento y Rotación de Llaves de API: Dado el riesgo de fuga silenciosa, se debe recomendar a los equipos el uso de llaves de API con alcances limitados (scoped keys) y revocación frecuente. Las estaciones de trabajo de alto privilegio deberían operar bajo perfiles de red (EDR/Firewall local) que bloqueen o alerten sobre conexiones CLI salientes hacia direcciones IP o dominios no reconocidos.
