Exfiltración de datos fuera de banda en Claude Code via dominio HuggingFace pre-aprobado en WebFetch

Descripción de la vulnerabilidad

Se ha identificado una vulnerabilidad de exfiltración de datos fuera de banda en Claude Code, relacionada con el tratamiento del dominio huggingface.co como hostname pre-aprobado en la herramienta WebFetch. Debido a que dicho hostname estaba autorizado de forma global como dominio base, cualquier ruta dentro de ese dominio, incluyendo repositorios de modelos controlados por un atacante, era aprobada automáticamente sin mostrar ningún aviso de permisos al usuario y sin estar sujeta a las restricciones configuradas mediante la opción --allowedTools.

Mecanismo de explotación

Un atacante con capacidad para inyectar contenido no confiable en el contexto de una sesión de Claude Code podía dirigir al agente a emitir peticiones WebFetch contra archivos alojados en repositorios maliciosos dentro de HuggingFace. Por ejemplo, una petición a una ruta del tipo /resolve/main/config.json era contabilizada por los servidores de HuggingFace como una descarga legítima. Este comportamiento creaba un canal encubierto fuera de banda que permitía codificar y exfiltrar información a la que Claude Code tuviera acceso, incluyendo archivos del sistema de archivos local, variables de entorno del proceso y salidas de comandos ejecutados en el contexto del agente.

La explotación fiable de esta vulnerabilidad requería la capacidad de introducir contenido no confiable en la ventana de contexto de Claude Code, lo cual constituye el vector de entrada principal.

Impacto

El impacto principal es la exfiltración de datos sensibles disponibles en el entorno de ejecución de Claude Code. Entre los activos potencialmente comprometidos se encuentran:

• Archivos accesibles desde el directorio de trabajo del agente.
• Variables de entorno que pueden contener credenciales, tokens de API u otra información confidencial.
• Salidas de comandos ejecutados por el agente durante la sesión.

El canal de exfiltración es especialmente peligroso porque opera de forma encubierta, aprovechando un dominio legítimo y de confianza como HuggingFace, lo que dificulta su detección mediante controles de red convencionales.

Usuarios afectados

La vulnerabilidad afecta a los usuarios de Claude Code, el agente de codificación desarrollado por Anthropic. Los usuarios que tienen activada la actualización automática estándar de Claude Code ya han recibido la corrección de forma transparente. Se recomienda encarecidamente a los usuarios que realizan actualizaciones manuales que actualicen a la versión más reciente disponible a la mayor brevedad posible.

Solución y mitigación

Anthopic ha publicado una corrección que modifica el comportamiento de aprobación del dominio huggingface.co en la herramienta WebFetch, de modo que las rutas específicas dentro de ese dominio ya no se aprueban automáticamente sin intervención del usuario. Se recomienda actualizar Claude Code a la última versión disponible.

Créditos

Esta vulnerabilidad fue reportada de forma responsable por hackerone.com/novee a través del programa de divulgación de vulnerabilidades correspondiente.