Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha identificado vulnerabilidades críticas en Claude Code, la herramienta de desarrollo asistido por IA de Anthropic. Estas posibilitaban la ejecución remota de código y robo de claves API a través de archivos de configuración maliciosos incluidos en repositorios de proyectos.
Las vulnerabilidades, registradas como CVE-2025-59536 y CVE-2026-21852, podían activarse simplemente al clonar y abrir un proyecto no confiable, sin necesidad de ejecutar código explícito ni realizar acciones adicionales por parte del desarrollador. Este descubrimiento refleja un cambio profundo en el modelo de amenazas de la cadena de suministro del software, impulsado por la adopción acelerada de herramientas de desarrollo basadas en IA autónoma.
Cómo un archivo de configuración se convirtió en un vector de ataque
Claude Code se diseñó con el objetivo de agilizar la colaboración integrando archivos de configuración a nivel de proyecto directamente en los repositorios, aplicándolos de forma automática al abrir el entorno de desarrollo. Sin embargo, Check Point Research descubrió que estos archivos, tradicionalmente considerados metadatos inofensivos, podían funcionar como una capa de ejecución activa.
En determinados escenarios, bastaba con abrir un repositorio malicioso para ejecutar comandos ocultos en el sistema del desarrollador; eludir mecanismos de consentimiento y control de confianza integrados; exfiltrar claves API activas de Anthropic; y escalar el impacto desde un endpoint individual a espacios de trabajo empresariales compartidos. Todo ello sin señales visibles de que la intrusión ya se había producido.
Clasificación de los riesgos en tres categorías principales:
- Ejecución silenciosa de comandos mediante Hooks: Claude Code incluye mecanismos de automatización que permiten realizar acciones al iniciar una sesión. Los investigadores demostraron que estos Hooks podían abusarse para lanzar comandos arbitrarios automáticamente al abrir un proyecto, sin interacción adicional del usuario.
- Elusión del consentimiento del usuario en integraciones MCP: la herramienta utiliza el Model Context Protocol (MCP) para inicializar integraciones externas. Aunque existen avisos de consentimiento, ciertas configuraciones controladas por el repositorio permitían ejecutar acciones antes de que el usuario otorgara aprobación explícita y sin visibilidad clara sobre qué servicios se estaban inicializando. Este comportamiento invierte el modelo de control, trasladando la autoridad del usuario al repositorio. Este problema fue asignado al CVE-2025-59536.
- Robo de claves API antes de la confirmación de confianza: mediante la manipulación de configuraciones del repositorio, los investigadores lograron redirigir el tráfico API, incluyendo las cabeceras de autorización, a servidores controlados por atacantes antes de que el usuario confirmara la confianza en el proyecto. Esto permitía capturar claves API válidas desde el primer momento. Este fallo fue identificado como CVE-2026-21852.
Anthropic ofrece entornos de trabajo colaborativos en los que múltiples claves API comparten acceso a los mismos recursos en la nube. Con una sola clave comprometida, un ciberdelincuente sería capaz de acceder a archivos compartidos del proyecto; modificar o eliminar datos almacenados en la nube; introducir contenido malicioso; y generar costes no autorizados por uso de la API. En ecosistemas de desarrollo colaborativo impulsados por IA, una credencial expuesta puede escalar rápidamente de un incidente individual a un impacto organizativo.
Estos hallazgos reflejan una transformación estructural del modelo de seguridad del software. Los archivos de configuración ya no son simples ajustes pasivos: en entornos de desarrollo basados en IA, influyen directamente en la ejecución, las comunicaciones y los permisos. El riesgo ya no se limita a ejecutar código no confiable, sino a abrir proyectos no confiables. En la cadena de suministro moderna impulsada por IA, la superficie de ataque comienza en las capas de automatización que rodean al código fuente.
Evolucionar las defensas es un objetivo que no debe esperar
Las herramientas de desarrollo asistidas por IA están integrándose rápidamente en los flujos de trabajo empresariales. Si bien su impacto en la productividad es significativo, también lo es la necesidad de replantear los supuestos tradicionales de seguridad. En una era en la que la configuración puede ejecutar, comunicarse y decidir, la confianza ya no puede asumirse. Las defensas deben evolucionar para proteger no solo el código, sino los ecosistemas automatizados que lo rodean.
