Investigadores de seguridad revelan que el asistente de programación de Anthropic ejecutaba comandos silenciosamente al cargar repositorios no confiables. El paradigma ha cambiado: abrir una carpeta ahora es tan peligroso como ejecutar código.
La promesa de los asistentes de programación con IA es acelerar el flujo de trabajo de los desarrolladores, pero esa misma velocidad se ha convertido en una pista de aterrizaje para el malware. Hoy 25 de febrero de 2026, el descubrimiento de múltiples vulnerabilidades de seguridad en Claude Code, la popular herramienta de codificación impulsada por Inteligencia Artificial de Anthropic.
Se demostró que actores maliciosos podían lograr la Ejecución Remota de Código (RCE) y exfiltrar credenciales sensibles explotando la forma en que el asistente maneja los archivos de configuración de los repositorios.
La Trampa en la Configuración
Históricamente, los desarrolladores sabían que no debían ejecutar código de fuentes desconocidas, pero asumían que simplemente abrir o clonar un repositorio para revisar su texto era seguro. Claude Code rompió esa premisa.
Los fallos detectados explotaban mecanismos de configuración automática como los Hooks, los servidores del Model Context Protocol (MCP) y variables de entorno:
- Ejecución Silenciosa de Código (Sin CVE asignado | CVSS: 8.7): Un fallo de inyección de código permitía eludir el consentimiento del usuario. Si un desarrollador iniciaba Claude Code en un nuevo directorio clonado, el sistema ejecutaba comandos de shell arbitrarios de forma invisible a través de “hooks” de proyectos no confiables definidos en el archivo .claude/settings.json. (Solucionado en la versión 1.0.87).
- Autonomía Peligrosa (CVE-2025-59536 – CVSS: 8.7): Similar a la anterior, esta vulnerabilidad permitía a un atacante anular la aprobación explícita del usuario para interactuar con herramientas externas. Al establecer la opción “enableAllProjectMcpServers” en true dentro de archivos de configuración (.mcp.json), el atacante forzaba a la IA a inicializar integraciones de forma automática e insegura. (Solucionado en la versión 1.0.111).
- Robo de Llaves API (CVE-2026-21852 – CVSS: 5.3): Un fallo de divulgación de información en el flujo de carga del proyecto. Anthropic explicó que si el archivo de configuración modificaba la variable ANTHROPIC_BASE_URL apuntando a un servidor del atacante, Claude Code enviaba solicitudes API (incluyendo la valiosa llave API del desarrollador) a ese servidor antes de mostrar la pantalla de advertencia de confianza. (Solucionado en la versión 2.0.65).
El Impacto del Robo de Credenciales
Secuestrar una clave de API de Anthropic no es poca cosa. Con esa llave, un atacante no solo puede generar costos masivos en la cuenta de la víctima, sino que puede profundizar en su infraestructura de IA, acceder a archivos de proyectos compartidos en la nube, modificar datos almacenados y alterar modelos de negocio.
Un Nuevo Modelo de Amenaza
La lección más importante es el cambio de paradigma en la seguridad de la cadena de suministro de software.
“A medida que las herramientas impulsadas por IA ganan la capacidad de ejecutar comandos, inicializar integraciones externas e iniciar comunicaciones de red de forma autónoma, los archivos de configuración se convierten efectivamente en parte de la capa de ejecución”, advierte el informe.
En la era del desarrollo impulsado por Inteligencia Artificial, el riesgo ya no se limita a ejecutar código; se extiende a la simple acción de abrir un proyecto no confiable en tu editor.
