Bogotá, febrero 25 de 2026.- A medida que las organizaciones adoptan rápidamente herramientas de desarrollo de agentes de IA en los flujos de trabajo empresariales, los límites de confianza entre la configuración y la ejecución se difuminan cada vez más. Check Point Research identificó vulnerabilidades críticas en Claude Code de Anthropic que permitían la ejecución remota de código y el robo de credenciales de API mediante archivos de configuración maliciosos basados en repositorios.
Al abusar de mecanismos integrados como Hooks, integraciones con el Protocolo de Contexto de Modelo (MCP) y variables de entorno, los atacantes podían ejecutar comandos de shell arbitrarios y extraer claves de API (Interfaz de Programación de Aplicaciones) cuando los desarrolladores clonaban y abrían proyectos no confiables, sin ninguna acción adicional más allá de iniciar la herramienta. Esto plantea una pregunta más amplia: ¿ha evolucionado el modelo de amenazas empresariales para adaptarse a esta nueva realidad?
Cómo un único archivo de repositorio se convirtió en un vector de ataque
Claude Code se diseñó para optimizar la colaboración mediante la integración de archivos de configuración a nivel de proyecto directamente en los repositorios. Check Point Research descubrió que estos archivos, generalmente percibidos como metadatos operativos inofensivos, podrían, de hecho, funcionar como una capa de ejecución activa.
En ciertos escenarios, simplemente clonar y abrir un repositorio malicioso era suficiente para:
• Activar comandos ocultos en el endpoint del desarrollador
• Evitar las protecciones integradas de consentimiento y confianza
• Exponer claves de API antrópicas activas y convertirlas en un vector de acceso
• Extender el impacto desde una estación de trabajo individual a espacios de trabajo compartidos en la nube empresarial
• Todo ello sin ninguna indicación visible de que ya se hubiera iniciado una vulneración. Lo que se pretendía optimizar la colaboración se convirtió en un vector de ataque silencioso dentro del flujo de trabajo de desarrollo impulsado por IA.
Cómo podrían verse afectados los desarrolladores
Los riesgos se dividían en tres categorías:
1. Ejecución silenciosa de comandos mediante Claude Hooks
Check Point Research demostró que este mecanismo podía utilizarse de forma abusiva para ejecutar comandos de shell arbitrarios automáticamente al inicializar la herramienta. En la práctica, esto significa que simplemente abrir un repositorio malicioso podría desencadenar una ejecución oculta en el equipo de un desarrollador, sin ninguna interacción adicional más allá del lanzamiento del proyecto.
2. Omisión del consentimiento del usuario de MCP
Claude Code se integra con herramientas externas a través del Protocolo de Contexto de Modelo (MCP), lo que permite la inicialización de servicios adicionales al abrir un proyecto. Los investigadores descubrieron que las opciones de configuración controladas por el repositorio podían anular estas medidas de seguridad. Como resultado, la ejecución podría ocurrir:
• Antes de que el usuario diera su consentimiento
• Sin una visibilidad significativa de lo que se estaba inicializando
• A pesar de las indicaciones de confianza integradas diseñadas para prevenir este comportamiento
3. Robo de clave API antes de la confirmación de confianza
Al manipular una configuración controlada por el repositorio, los investigadores demostraron que el tráfico de la API, incluido el encabezado de autorización completo, podía redirigirse a un servidor controlado por el atacante antes de que el usuario confirmara su confianza en el directorio del proyecto.
Esto significaba que simplemente abrir un repositorio malicioso podía:
• Exfiltrar la clave de API activa de un desarrollador
• Redirigir el tráfico de la API autenticado a una infraestructura externa
• Capturar credenciales antes de tomar cualquier decisión de confianza
En entornos de IA colaborativa, una sola clave comprometida puede convertirse en la puerta de entrada a una mayor exposición empresarial.
Por qué fue importante la exposición de la clave API
La API de Anthropic incluye una función llamada Espacios de Trabajo, que permite que varias claves API compartan el acceso a los archivos de proyecto almacenados en la nube. Los archivos están asociados al propio espacio de trabajo, no a una sola clave.
Con una clave robada, un atacante podría:
• Acceder a archivos de proyecto compartidos
• Modificar o eliminar datos almacenados en la nube
• Subir contenido malicioso
• Generar costos de API inesperados
Un nuevo riesgo para la cadena de suministro en las herramientas de IA
Estas vulnerabilidades reflejan un cambio estructural más amplio en el funcionamiento de las cadenas de suministro de software. Las plataformas de desarrollo modernas dependen cada vez más de archivos de configuración basados en repositorios para automatizar los flujos de trabajo y optimizar la colaboración. Tradicionalmente, estos archivos se trataban como metadatos pasivos, no como lógica de ejecución. Sin embargo, a medida que las herramientas basadas en IA adquieren la capacidad de ejecutar comandos, inicializar integraciones externas e iniciar la comunicación de red de forma autónoma, los archivos de configuración pasan a formar parte de la capa de ejecución. Lo que antes se consideraba contexto operativo ahora influye directamente en el comportamiento del sistema.
Esto altera fundamentalmente el modelo de amenazas. El riesgo ya no se limita a ejecutar código no confiable, sino que se extiende a la apertura de proyectos no confiables. En entornos de desarrollo impulsados por IA, la cadena de suministro comienza no solo con el código fuente, sino también con las capas de automatización que lo rodean.
Check Point Research colaboró estrechamente con Anthropic durante todo el proceso de divulgación y todos los problemas reportados se resolvieron antes de su difusión pública.
