- Las vulnerabilidades críticas CVE-2025-59536 y CVE-2026-21852 en la herramienta Claude Code de Anthropic permitían la ejecución remota de código y el robo de claves API mediante archivos de configuración maliciosos a nivel repositorio, activados simplemente al clonar y abrir un proyecto no confiable.
- Los mecanismos incorporados —incluyendo Hooks, integraciones MCP y variables de entorno— podían ser explotados para eludir controles de confianza, ejecutar comandos shell ocultos y redirigir tráfico autenticado de API antes del consentimiento del usuario.
- Las claves API robadas de Anthropic representaban un riesgo a nivel corporativo, especialmente en entornos colaborativos donde una única clave comprometida podía exponer, modificar o eliminar archivos y recursos compartidos, además de generar costos no autorizados.
- Los hallazgos reflejan un cambio más amplio en el modelo de amenazas de la cadena de suministro de IA: los archivos de configuración de repositorios ahora funcionan como parte de la capa de ejecución, lo que exige nuevos controles de seguridad para abordar los riesgos asociados a la automatización impulsada por IA.
A medida que las organizaciones incorporan rápidamente herramientas de desarrollo con IA agentiva en sus flujos de trabajo empresariales, los límites de confianza entre configuración y ejecución se vuelven cada vez más difusos. Check Point Research identificó vulnerabilidades críticas en Claude Code que permitían la ejecución remota de código y el robo de credenciales API mediante archivos de configuración maliciosos basados en repositorios.
Al abusar de mecanismos integrados como Hooks, integraciones del Model Context Protocol (MCP) y variables de entorno, los atacantes podían ejecutar comandos shell arbitrarios y extraer claves API cuando los desarrolladores clonaban y abrían proyectos no confiables, sin realizar ninguna acción adicional más allá de iniciar la herramienta.
En la práctica, archivos de configuración diseñados para simplificar la colaboración pasaron a convertirse en rutas activas de ejecución, introduciendo un nuevo vector de ataque dentro de la capa de desarrollo impulsada por IA que hoy forma parte de la cadena de suministro empresarial. Esto abre una pregunta más amplia: ¿evolucionó el modelo de amenazas corporativas al ritmo de esta nueva realidad?
Cómo un solo archivo de repositorio se convirtió en vector de ataque
Claude Code fue diseñado para optimizar la colaboración mediante archivos de configuración a nivel proyecto integrados directamente en los repositorios, que se aplican automáticamente cuando un desarrollador abre la herramienta dentro del directorio del proyecto.
Check Point Research detectó que estos archivos —generalmente percibidos como metadatos operativos inofensivos— podían funcionar como una capa activa de ejecución.
En ciertos escenarios, simplemente clonar y abrir un repositorio malicioso era suficiente para:
- Ejecutar comandos ocultos en el equipo del desarrollador
- Eludir controles de consentimiento y confianza incorporados
- Exponer claves API activas de Anthropic y convertirlas en un vector de acceso
- Escalar el impacto desde una workstation individual hacia entornos cloud empresariales compartidos
- Todo esto sin ninguna señal visible de que el compromiso ya había comenzado. Lo que buscaba optimizar la colaboración terminó funcionando como un vector de ataque silencioso dentro del flujo de desarrollo con IA.
Cómo podían verse afectados los desarrolladores
Los riesgos se agruparon en tres categorías principales:
1. Ejecución silenciosa de comandos mediante Claude Hooks
Claude Code incluye capacidades de automatización que permiten ejecutar acciones predefinidas al iniciar una sesión. Check Point Research demostró que este mecanismo podía ser explotado para ejecutar comandos shell arbitrarios automáticamente al inicializar la herramienta.
En la práctica, esto significa que abrir un repositorio malicioso podía disparar ejecuciones ocultas en la máquina del desarrollador, sin interacción adicional.
2. Bypass del consentimiento del usuario en MCP
Claude Code se integra con herramientas externas mediante el Model Context Protocol (MCP), lo que permite inicializar servicios adicionales al abrir un proyecto. Aunque existen advertencias diseñadas para requerir aprobación explícita del usuario, los investigadores detectaron que configuraciones controladas desde el repositorio podían sobrescribir estas protecciones.
Como resultado, la ejecución podía ocurrir:
- Antes de que el usuario otorgara consentimiento
- Sin visibilidad real sobre qué servicios se estaban inicializando
- A pesar de los prompts de confianza incorporados
Cuando el código se ejecuta antes de establecer la confianza, el modelo de control se invierte: la autoridad pasa del usuario al repositorio, ampliando la superficie de ataque basada en IA.
Este problema fue identificado como CVE-2025-59536.
3. Robo de claves API antes de confirmar la confianza
Claude Code se comunica con los servicios de Anthropic mediante una clave API enviada en cada solicitud autenticada. Manipulando configuraciones controladas por el repositorio, los investigadores demostraron que el tráfico API —incluyendo el header completo de autorización— podía redirigirse a un servidor controlado por atacantes antes de que el usuario confirmara la confianza en el proyecto.
Esto implicaba que simplemente abrir un repositorio malicioso podía:
- Extraer la clave API activa del desarrollador
- Redirigir tráfico autenticado hacia infraestructura externa
- Capturar credenciales antes de cualquier decisión de confianza
En entornos colaborativos de IA, una única clave comprometida puede convertirse en puerta de entrada a un impacto empresarial más amplio.
Este problema fue identificado como CVE-2026-21852.
Por qué era crítico el riesgo sobre las claves API
La API de Anthropic incluye una función llamada Workspaces, que permite que múltiples claves API compartan acceso a archivos de proyecto almacenados en la nube.
Los archivos están asociados al workspace y no a una única clave.
Con una clave robada, un atacante podría:
- Acceder a archivos compartidos
- Modificar o eliminar datos almacenados en la nube
- Subir contenido malicioso
- Generar costos inesperados de API
En ecosistemas colaborativos de IA, una sola credencial expuesta puede escalar rápidamente desde un incidente individual a un impacto en todo el equipo.
Un nuevo riesgo en la cadena de suministro del software con IA
Estas vulnerabilidades reflejan un cambio estructural en la forma en que operan las cadenas de suministro de software. Las plataformas modernas dependen cada vez más de archivos de configuración basados en repositorios para automatizar procesos y facilitar la colaboración. Tradicionalmente, estos archivos eran considerados metadatos pasivos, no lógica de ejecución.
Sin embargo, a medida que las herramientas impulsadas por IA adquieren la capacidad de ejecutar comandos, inicializar integraciones externas y generar comunicaciones de red de forma autónoma, los archivos de configuración pasan a formar parte directa de la capa de ejecución.
Esto modifica de manera profunda el modelo de amenazas: el riesgo ya no se limita a ejecutar código no confiable, sino también a abrir proyectos no confiables. En entornos de desarrollo con IA, la cadena de suministro ya no comienza solo con el código fuente, sino también con las capas de automatización que lo rodean.
Remediación y divulgación
Check Point Research trabajó en conjunto con Anthropic durante todo el proceso de divulgación responsable.
Anthropic implementó correcciones que:
- Reforzaron los mecanismos de consentimiento del usuario
- Evitaron la ejecución de herramientas externas antes de la aprobación explícita
- Bloquearon comunicaciones API hasta confirmar la confianza del proyecto
- Todos los problemas reportados fueron resueltos antes de su divulgación pública.
Las herramientas de programación impulsadas por IA se están integrando rápidamente en los flujos de desarrollo corporativos. Si bien los beneficios de productividad son significativos, también lo es la necesidad de revisar los supuestos tradicionales de seguridad.
Los archivos de configuración ya no son ajustes pasivos: hoy pueden influir directamente en la ejecución, la conectividad y los permisos.
A medida que la integración de IA se profundiza, los controles de seguridad deberán evolucionar para adaptarse a estos nuevos límites de confianza.
Acerca de Check Point Research
Check Point Research proporciona inteligencia de ciberamenazas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que garantiza que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERT.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de plataformas de ciberseguridad basadas en la nube y basadas en IA que protege a más de 100 000 organizaciones en todo el mundo. Check Point aprovecha el poder de la IA en todas partes para mejorar la eficiencia y la precisión de la ciberseguridad a través de su plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva de las amenazas y tiempos de respuesta más rápidos e inteligentes. La plataforma integral incluye tecnologías entregadas en la nube que consisten en Check Point Harmony para proteger el espacio de trabajo, Check Point CloudGuard para proteger la nube, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.