Un investigador de seguridad descubrió un fallo grave en Claude Code que permitía ejecutar comandos en tu ordenador con solo abrir un enlace. Según los primeros análisis, un hacker podría colar instrucciones maliciosas dentro de un prompt. Aunque Anthropic ya lanzó la versión 2.1.118 que corrige el problema, si no has actualizado, sigues expuesto.

Joern "Joernchen" Schneeweisz, ingeniero de seguridad de GitLab, publicó el hallazgo en su blog personal. De acuerdo con el análisis técnico, el origen del problema está en cómo Claude Code procesa ciertos parámetros de configuración cuando arranca. La herramienta tiene un mecanismo que lee ajustes antes de que el programa termine de iniciarse.

La cuestión es que Claude Code es demasiado confiado y busca esos ajustes en cualquier parte del comando de arranque, sin verificar si lo que encuentra es realmente una instrucción legítima o texto que forma parte de otro parámetro. Esa falta de comprobación es la que abre la puerta al ataque. Claude Code permite abrir proyectos a través de enlaces especiales con el prefijo claude-cli:// , los cuales pueden incluir un texto para precargar el prompt de la herramienta.

Joernchen señala que un atacante puede colar instrucciones de configuración maliciosas dentro de ese texto, y Claude Code las interpreta como órdenes reales sin cuestionarlas. Con eso, es posible configurar la herramienta para que ejecute cualquier comando en tu ordenador en el momento en que se abre la sesión. El ejemplo que publicó el investigador como prueba de concepto abría la app Calculadora en macOS y escribía un fichero en disco con información del sistema.

Sin avisos ni confirmaciones, son un clic y listo. El ataque también se salta la advertencia de confianza de Claude Code Una de las características más peligrosas de este fallo tiene que ver con una segunda vulnerabilidad encadenada. Claude Code muestra normalmente un aviso cuando intentas abrir un proyecto que no reconoce, dándote la oportunidad de decidir si confías en él.

Sin embargo, si el enlace malicioso incluye el nombre de un proyecto que ya tienes guardado y marcado como seguro en tu ordenador, ese aviso desaparece por completo. Un atacante que sepa qué proyectos tienes descargados puede construir un enlace diseñado específicamente para saltarse esa protección, distribuirlo por cualquier canal y confiar en que el sistema no te mostrará ninguna advertencia. El problema de fondo es que la Claude Code no distinguía correctamente entre una instrucción real y texto que simplemente se parece a una instrucción.

Este error de diseño podría parecer menor en otro contexto, pero combinado con la capacidad para ejecutar comandos en tu sistema, las consecuencias son graves. La buena noticia es que Anthropic ha corregido la vulnerabilidad en la versión 2.1.118 de Claude Code. Si usas esta herramienta, puedes comprobar qué versión tienes ejecutando claude --version en la terminal.

Si el número es inferior a 2.1.118, actualiza de inmediato para no quedar vulnerable. Más allá de Claude Code, el hallazgo tiene implicaciones para cualquier equipo que desarrolle herramientas similares. Si trabajas en desarrollo o gestionas software interno en tu empresa, vale la pena revisar si alguna de tus herramientas comete el mismo error de confiar ciegamente en el texto que recibe sin verificar su origen.