Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5502
)
-
▼
June
(Total:
898
)
-
EE. UU. ofrece hasta 10M$ por información que ayud...
-
Nuevo ataque de Claude Code permite control total ...
-
Base de datos de vulnerabilidades de GitHub alcanz...
-
Explotan vulnerabilidad crítica de Oracle E-Busine...
-
Vulnerabilidades de Synology MailPlus Server permi...
-
Microsoft advierte que las descripciones manipulad...
-
Gemini supera a ChatGPT con imágenes gratis para t...
-
Claude Science acelera el descubrimiento científico
-
IA de Google crea imágenes en 4 segundos
-
Kodi 22 Piers llega a beta
-
Meta pierde juicio por impacto de redes en menores
-
Vulnerabilidad crítica en Gemini CLI permite ejecu...
-
Vulnerabilidades de WolfSSL exponen miles de millo...
-
Vulnerabilidad RCE de Microsoft 365 explotada con ...
-
Publicado PoC de fallo en NTLM que permite acceso ...
-
Vulnerabilidades críticas de Dell Wyse permiten ej...
-
Roban sesiones de WhatsApp Web para estafas a dire...
-
Publicado PoC de vulnerabilidad RCE en Splunk Secu...
-
Vulnerabilidad crítica en Kemp LoadMaster permite ...
-
Extensión maliciosa de Perplexity para Chrome inte...
-
Kali Linux 2026.2: GNOME 50 y Plasma 6.6
-
Bing Search de ‘ManageEngine OpManager’ distribuye...
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
-
▼
June
(Total:
898
)
Blogroll
Labels
seguridad
(
1490
)
vulnerabilidad
(
1400
)
hardware
(
800
)
software
(
776
)
google
(
709
)
Malware
(
707
)
privacidad
(
619
)
Windows
(
521
)
ransomware
(
497
)
android
(
443
)
cve
(
365
)
linux
(
357
)
exploit
(
337
)
tutorial
(
299
)
manual
(
281
)
nvidia
(
277
)
hacking
(
234
)
WhatsApp
(
173
)
ssd
(
169
)
Wifi
(
131
)
ddos
(
128
)
app
(
123
)
twitter
(
121
)
cifrado
(
119
)
programación
(
104
)
youtube
(
81
)
herramientas
(
80
)
Networking
(
73
)
firefox
(
73
)
sysadmin
(
71
)
firmware
(
68
)
office
(
62
)
adobe
(
61
)
Kernel
(
49
)
antivirus
(
48
)
hack
(
48
)
javascript
(
46
)
apache
(
45
)
juegos
(
42
)
contraseñas
(
39
)
multimedia
(
35
)
cms
(
34
)
eventos
(
32
)
flash
(
32
)
MAC
(
30
)
anonymous
(
28
)
ssl
(
24
)
Forense
(
20
)
conferencia
(
20
)
SeguridadWireless
(
17
)
documental
(
17
)
Debugger
(
14
)
Rootkit
(
14
)
auditoría
(
14
)
lizard squad
(
14
)
metasploit
(
13
)
técnicas hacking
(
13
)
Virtualización
(
11
)
delitos
(
11
)
reversing
(
10
)
adamo
(
9
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe...
-
Siempre que hablamos de hardware, y especialmente de procesadores y tarjetas gráficas, uno de los datos técnicos más repetidos es el TDP...
-
Se ha detectado una nueva técnica de ransomware capaz de ejecutarse completamente dentro de un navegador web , sin necesidad de instalar apl...
Fallo en la acción de GitHub de Claude Code permitía secuestrar repositorios mediante un issue malicioso
Saturday, 6 June 2026
|
Posted by
el-brujo
|
Edit Post
Un investigador descubrió una vulnerabilidad en Claude Code de Anthropic que permitía a atacantes tomar el control de repositorios públicos mediante la inyección de prompts en issues de GitHub. El fallo aprovechaba una verificación insuficiente de bots para robar credenciales y ejecutar código malicioso, afectando potencialmente la cadena de suministro. Anthropic ya corrigió el error en la versión 1.0.94 y recomienda actualizar inmediatamente.
Un investigador de seguridad encontró un fallo en la GitHub Action de Claude Code de Anthropic que permitía a un atacante tomar el control de repositorios públicos vulnerables que la estuvieran ejecutando, con tan solo abrir un problema (issue) de GitHub. Debido a que el propio repositorio de la acción de Anthropic utilizaba el mismo flujo de trabajo, un ataque exitoso podría haber insertado código malicioso en la acción misma y en los proyectos derivados que la utilizan.
RyotaK, de GMO Flatt Security, informó el bypass principal a Anthropic en enero, y Anthropic lo solucionó en cuatro días aquí, con más mejoras durante la primavera; los arreglos están en la versión v1.0.94 de claude-code-action. Anthropic calificó el problema con un 7.8 bajo CVSS v4.0 y pagó una recompensa por el bug.
Claude Code GitHub Actions integra a Claude en los flujos de CI/CD para clasificar problemas, poner etiquetas, revisar pull requests o ejecutar comandos de barra. Por defecto, el flujo de trabajo tiene acceso de lectura y escritura al código, problemas, pull requests, discusiones y archivos de flujo de trabajo de un repositorio. Debido a que esos permisos son amplios, se supone que la acción debe ser selectiva sobre quién puede activarla: solo usuarios con acceso de escritura.
La verificación del activador tenía un agujero. Dejaba pasar a cualquier actor cuyo nombre terminara en [bot], bajo la suposición de que las aplicaciones de GitHub son elementos confiables que los administradores instalan. El problema es que cualquiera puede registrar una aplicación de GitHub, instalarla en un repositorio propio y usar su token para abrir un problema o pull request en cualquier repositorio público. La acción veía "a un bot" y permitía el contenido del atacante. El modo de etiquetas tenía una verificación extra para confirmar que el actor era un humano real; el modo agente no la tenía, lo que lo dejaba abierto.
A partir de ahí, el atacante recurre a la inyección indirecta de prompts, el truco de plantar instrucciones dentro del contenido que lee una IA para que el modelo las siga en lugar de su tarea real. RyotaK escribió un problema cuyo cuerpo parecía un mensaje de error, y luego refinó el prompt hasta que Claude se "recuperaba" ejecutando los comandos ocultos en él. El objetivo es /proc/self/environ, el archivo de Linux que contiene las variables de entorno de un proceso, incluyendo los secretos. Claude Code bloquea las lecturas ingenuas, pero RyotaK eludió la protección y logró que Claude escribiera los valores de vuelta en el problema, donde el atacante podía recogerlos.
El premio real en esas variables es el par de credenciales que GitHub Actions utiliza para solicitar un token OIDC, un token firmado que prueba "soy este flujo de trabajo ejecutándose en este repositorio". Claude Code canjea ese token con el backend de Anthropic por un token de instalación de la aplicación Claude GitHub con acceso de escritura. Si robas esas credenciales y replicas el intercambio, obtienes acceso de escritura al código, problemas y flujos de trabajo del objetivo. Si lo diriges al propio repositorio de claude-code-action, podrías envenenar la acción que descargan los proyectos derivados.
RyotaK también señaló una ruta más sencilla que omitía totalmente el truco del bot. El flujo de trabajo de ejemplo de clasificación de problemas de Anthropic venía con allowed_non_write_users: "*", lo que permite que cualquier persona lo active, una configuración que la propia documentación de Anthropic ya marca como riesgosa. Peor aún, Claude publicaba resúmenes de tareas en el panel de resumen visible públicamente de la ejecución del flujo, una forma directa de filtrar datos. Muchos repositorios copiaron ese ejemplo y heredaron el agujero.
También existe una ruta para un atacante que puede editar problemas pero no puede activar a Claude por su cuenta: editar el problema de un usuario confiable después de que se haya disparado el flujo de trabajo, pero antes de que Claude lo lea, y el payload entra como entrada "confiable".
Actualiza a claude-code-action v1.0.94 o posterior. Luego, audita cualquier flujo de trabajo que permita a usuarios sin acceso de escritura, o a bots, activar a Claude: si acepta entradas no confiables, no le proporciones ningún secreto más allá de la clave API de Anthropic y el GITHUB_TOKEN, y elimina las herramientas y permisos que puedan usarse para la exfiltración de datos.
Nada de esto es teórico. La misma configuración (un clasificador de problemas por IA más permisos amplios más inyección de prompts) ya causó un ataque real a la cadena de suministro:
* En febrero, un título de problema con inyección de prompts contra el flujo de trabajo de clasificación de claude-code-action de Cline permitió a los atacantes robar un token de publicación de npm y subir una versión no autorizada de cline@2.3.0. La versión maliciosa solo forzaba la instalación de un agente de IA separado y no malicioso, y fue retirada unas ocho horas después, pero la misma cadena podría haber distribuido malware real a todos los que actualizaran.
* El bot autónomo "HackerBot-Claw" pasó finales de febrero sondeando configuraciones erróneas de GitHub Actions en Microsoft, Datadog, proyectos de CNCF y otros, aunque cuando intentó inyectar un prompt a un revisor basado en Claude a través de un archivo de configuración envenenado, Claude lo detectó y se negó.
No hay señales públicas de que esta ruta exacta, la que envenena la acción de Anthropic, haya sido utilizada contra un objetivo real; RyotaK lo demostró solo en sus propios repositorios de prueba y se encarga de separarlo de las variantes anteriores que sí fueron explotadas.
RyotaK afirma que ha informado ahora de unas 50 formas distintas de evadir el sistema de permisos de Claude Code y ejecutar comandos, parte de una serie constante de fallos de inyección de prompts en agentes de codificación de IA. La inyección de prompts sigue sin resolverse, y un agente con herramientas y tokens reales puede ser empujado hasta donde sus permisos lo permitan.
Fuente:
THN
Un investigador de seguridad encontró un fallo en la GitHub Action de Claude Code de Anthropic que permitía a un atacante tomar el control de repositorios públicos vulnerables que la estuvieran ejecutando, con tan solo abrir un problema (issue) de GitHub. Debido a que el propio repositorio de la acción de Anthropic utilizaba el mismo flujo de trabajo, un ataque exitoso podría haber insertado código malicioso en la acción misma y en los proyectos derivados que la utilizan.
RyotaK, de GMO Flatt Security, informó el bypass principal a Anthropic en enero, y Anthropic lo solucionó en cuatro días aquí, con más mejoras durante la primavera; los arreglos están en la versión v1.0.94 de claude-code-action. Anthropic calificó el problema con un 7.8 bajo CVSS v4.0 y pagó una recompensa por el bug.
Claude Code GitHub Actions integra a Claude en los flujos de CI/CD para clasificar problemas, poner etiquetas, revisar pull requests o ejecutar comandos de barra. Por defecto, el flujo de trabajo tiene acceso de lectura y escritura al código, problemas, pull requests, discusiones y archivos de flujo de trabajo de un repositorio. Debido a que esos permisos son amplios, se supone que la acción debe ser selectiva sobre quién puede activarla: solo usuarios con acceso de escritura.
La verificación del activador tenía un agujero. Dejaba pasar a cualquier actor cuyo nombre terminara en [bot], bajo la suposición de que las aplicaciones de GitHub son elementos confiables que los administradores instalan. El problema es que cualquiera puede registrar una aplicación de GitHub, instalarla en un repositorio propio y usar su token para abrir un problema o pull request en cualquier repositorio público. La acción veía "a un bot" y permitía el contenido del atacante. El modo de etiquetas tenía una verificación extra para confirmar que el actor era un humano real; el modo agente no la tenía, lo que lo dejaba abierto.
A partir de ahí, el atacante recurre a la inyección indirecta de prompts, el truco de plantar instrucciones dentro del contenido que lee una IA para que el modelo las siga en lugar de su tarea real. RyotaK escribió un problema cuyo cuerpo parecía un mensaje de error, y luego refinó el prompt hasta que Claude se "recuperaba" ejecutando los comandos ocultos en él. El objetivo es /proc/self/environ, el archivo de Linux que contiene las variables de entorno de un proceso, incluyendo los secretos. Claude Code bloquea las lecturas ingenuas, pero RyotaK eludió la protección y logró que Claude escribiera los valores de vuelta en el problema, donde el atacante podía recogerlos.
El premio real en esas variables es el par de credenciales que GitHub Actions utiliza para solicitar un token OIDC, un token firmado que prueba "soy este flujo de trabajo ejecutándose en este repositorio". Claude Code canjea ese token con el backend de Anthropic por un token de instalación de la aplicación Claude GitHub con acceso de escritura. Si robas esas credenciales y replicas el intercambio, obtienes acceso de escritura al código, problemas y flujos de trabajo del objetivo. Si lo diriges al propio repositorio de claude-code-action, podrías envenenar la acción que descargan los proyectos derivados.
RyotaK también señaló una ruta más sencilla que omitía totalmente el truco del bot. El flujo de trabajo de ejemplo de clasificación de problemas de Anthropic venía con allowed_non_write_users: "*", lo que permite que cualquier persona lo active, una configuración que la propia documentación de Anthropic ya marca como riesgosa. Peor aún, Claude publicaba resúmenes de tareas en el panel de resumen visible públicamente de la ejecución del flujo, una forma directa de filtrar datos. Muchos repositorios copiaron ese ejemplo y heredaron el agujero.
También existe una ruta para un atacante que puede editar problemas pero no puede activar a Claude por su cuenta: editar el problema de un usuario confiable después de que se haya disparado el flujo de trabajo, pero antes de que Claude lo lea, y el payload entra como entrada "confiable".
¿qué hacer?
Actualiza a claude-code-action v1.0.94 o posterior. Luego, audita cualquier flujo de trabajo que permita a usuarios sin acceso de escritura, o a bots, activar a Claude: si acepta entradas no confiables, no le proporciones ningún secreto más allá de la clave API de Anthropic y el GITHUB_TOKEN, y elimina las herramientas y permisos que puedan usarse para la exfiltración de datos.
Nada de esto es teórico. La misma configuración (un clasificador de problemas por IA más permisos amplios más inyección de prompts) ya causó un ataque real a la cadena de suministro:
* En febrero, un título de problema con inyección de prompts contra el flujo de trabajo de clasificación de claude-code-action de Cline permitió a los atacantes robar un token de publicación de npm y subir una versión no autorizada de cline@2.3.0. La versión maliciosa solo forzaba la instalación de un agente de IA separado y no malicioso, y fue retirada unas ocho horas después, pero la misma cadena podría haber distribuido malware real a todos los que actualizaran.
* El bot autónomo "HackerBot-Claw" pasó finales de febrero sondeando configuraciones erróneas de GitHub Actions en Microsoft, Datadog, proyectos de CNCF y otros, aunque cuando intentó inyectar un prompt a un revisor basado en Claude a través de un archivo de configuración envenenado, Claude lo detectó y se negó.
No hay señales públicas de que esta ruta exacta, la que envenena la acción de Anthropic, haya sido utilizada contra un objetivo real; RyotaK lo demostró solo en sus propios repositorios de prueba y se encarga de separarlo de las variantes anteriores que sí fueron explotadas.
RyotaK afirma que ha informado ahora de unas 50 formas distintas de evadir el sistema de permisos de Claude Code y ejecutar comandos, parte de una serie constante de fallos de inyección de prompts en agentes de codificación de IA. La inyección de prompts sigue sin resolverse, y un agente con herramientas y tokens reales puede ser empujado hasta donde sus permisos lo permitan.
Fuente:
THN


Newer Post
0 comments :
Post a Comment
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.