COMUNICADO EMERGENTE

Estimados clientes,

Por medio del presente boletín, queremos informarles sobre la identificación de una vulnerabilidad de alta criticidad asociada a Claude Code. Esta herramienta incorpora un modelo de permisos orientado a controlar las acciones que el agente puede ejecutar sobre el sistema, entre ellas la lectura y modificación de archivos, la ejecución de comandos y el uso de herramientas. La propia documentación de Anthropic muestra que existen modos de operación que endurecen o relajan estos controles, y que “–dangerously-skip-permissions” equivale a un modo de bypass de permisos. Además, Anthropic ofrece controles administrativos para deshabilitar ese modo en entornos gestionados.

El problema reportado públicamente consistía en que ciertas deny rules o reglas de bloqueo configuradas por el usuario podían ser omitidas, afectando la principal barrera de seguridad entre el agente y el sistema del desarrollador. SecurityWeek describió la falla como una vulnerabilidad crítica emergida poco después de otras investigaciones de seguridad sobre Claude Code, indicando que las reglas de denegación podían ser burladas.

Aunque la nota oficial de cambios de Anthropic no detalla públicamente el incidente con el mismo nivel técnico que los reportes externos, el changelog oficial sí registra correcciones de seguridad y cumplimiento de políticas administradas en Claude Code, lo que respalda que la línea de mitigación pasó por cambios en el manejo de permisos y restricciones. (Más Información)

Recomendaciones:

• Para usuarios
  • Actualizar Claude Code a la versión 2.1.90 o superior. Esta es la medida más importante, ya que la corrección oficial fue incluida en esa versión.
  • Revisar las reglas de seguridad configuradas en la herramienta, especialmente las relacionadas con acceso a archivos sensibles, secretos, carpetas críticas y ejecución de comandos.
  • Limitar el uso de herramientas disponibles dentro de Claude Code cuando el entorno contenga información importante o confidencial.
  • Evitar ejecutar la herramienta en directorios que contengan credenciales, llaves, tokens o archivos de configuración sensibles sin protección adicional.
• Para organizaciones
  • Ejecutar Claude Code en entornos controlados, con mínimos privilegios y acceso restringido solo a los recursos necesarios.
  • Aplicar controles complementarios como segmentación, contenedores, entornos aislados o estaciones dedicadas para reducir el impacto de cualquier falla.
  • Mantener políticas de actualización y revisión periódica de la configuración de seguridad de la herramienta.
  • No depender de una sola capa de protección. La seguridad debe apoyarse también en controles del sistema operativo, gestión segura de credenciales y supervisión del entorno.
  • Evitar el uso de “–dangerously-skip-permissions”
  • Tratar repositorios, archivos de configuración, plugins, hooks y contenido de herramientas externas como entradas potencialmente no confiables.
  • Reforzar controles del sistema operativo, segmentación de red y protección de credenciales para no depender de una sola capa de seguridad.

Fuentes:

• https://docs.anthropic.com/en/release-notes/claude-code
• https://code.claude.com/docs/en/settings
• https://code.claude.com/docs/en/cli-reference
• https://platform.claude.com/docs/en/agents-and-tools/tool-use/computer-use-tool
• https://www.anthropic.com/engineering/claude-code-auto-mode
• https://www.securityweek.com/critical-vulnerability-in-claude-code-emerges-days-after-source-leak/

Impacto

• La implicación principal de esta vulnerabilidad es que un desarrollador u organización podía creer que ciertas acciones estaban bloqueadas cuando, en realidad, el agente todavía podía ejecutarlas en determinados escenarios. Eso elevaba el riesgo de:
• Ejecución de Comandos no Autorizados.
• Lectura, Modificación o Exposición de Archivos Sensibles.
• Abuso mediante prompt injection desde contenido del proyecto o herramientas conectadas.
• Pérdida de efectividad de controles compensatorios definidos localmente por el usuario.

Versiones Afectadas

• Los reportes públicos asocian la corrección con Claude Code 2.1.90, por lo que toda versión anterior debería considerarse potencialmente expuesta hasta confirmar actualización. El registro oficial de versiones de Claude Code contiene la referencia pública del changelog, aunque no publica una descripción extensa del bypass reportado por terceros.