Claude Code CVE-2026-39861: Escape de la caja de arena mediante seguimiento de enlaces simbólicos

Las versiones de Claude Code anteriores a la 2.1.64 (paquete npm @anthropic-ai/claude-code) contienen una vulnerabilidad de escape de zona de pruebas rastreada como CVE-2026-39861. El problema: la zona de pruebas no impedía que los procesos aislados crearan enlaces simbólicos que apuntaran a ubicaciones fuera del espacio de trabajo. Cuando el proceso no aislado de Claude Code posteriormente escribía en una ruta dentro de dicho enlace simbólico, seguía el enlace y escribía en la ubicación de destino sin confirmación del usuario.
Cómo funciona el exploit
El ataque combina dos componentes: un comando aislado que crea un enlace simbólico que apunta fuera del espacio de trabajo, y la aplicación no aislada que posteriormente escribe en una ruta que atraviesa ese enlace simbólico. Ninguno de los dos componentes por sí solo puede escribir fuera del espacio de trabajo: es la combinación la que permite la escritura arbitraria de archivos. Explotar esto de manera fiable requiere inyección de instrucciones para desencadenar la ejecución de código aislado a través de contenido no confiable en la ventana de contexto de Claude Code.
Impacto y CVSS
Calificada como Alta gravedad con una puntuación base CVSS v4 de 7.7. El vector de ataque es de red, la complejidad es baja, no se requieren privilegios, interacción pasiva del usuario. Los impactos en la confidencialidad, integridad y disponibilidad del sistema vulnerable son todos altos.
Versiones afectadas y parcheadas
- Afectadas: todas las versiones anteriores a la 2.1.64
- Parcheada: versión 2.1.64 (publicada el 20 de abril de 2026)
Los usuarios con actualización automática estándar han recibido la corrección automáticamente. Los usuarios que actualizan manualmente deben actualizar a la última versión de inmediato.
Qué hacer
Si estás usando Claude Code, verifica tu versión con claude --version y actualiza a ≥2.1.64 mediante npm update @anthropic-ai/claude-code -g o el gestor de paquetes correspondiente. También ten en cuenta que esta vulnerabilidad puede desencadenarse mediante inyección de instrucciones: trata el contenido de contexto no confiable con precaución.
📖 Leer la fuente completa: HN AI Agents
👀 Ver también

Seguridad de Agentes de IA: Más Allá de los Jailbreaks Hasta el Mal Uso de Herramientas y la Inyección de Prompts
Los agentes de IA que navegan por la web, ejecutan comandos y activan flujos de trabajo enfrentan riesgos de seguridad por inyección de instrucciones y mal uso de herramientas, donde contenido no confiable redirige herramientas legítimas como la ejecución de comandos y solicitudes HTTP.

Agentes de IA permiten que hackers solitarios vulneren gobiernos y campañas de ransomware
Un operador solitario que utilizó Claude Code y ChatGPT exfiltró 150 GB de agencias gubernamentales mexicanas, incluyendo 195 millones de registros de contribuyentes. Otro atacante usó Claude Code para ejecutar una campaña de extorsión integral contra 17 organizaciones de atención médica y servicios de emergencia.

Tres Vectores de Ataque Basados en Correo Electrónico Contra Agentes de IA que Leen Correos
Una publicación de Reddit detalla tres métodos específicos que los atacantes pueden usar para secuestrar agentes de IA que procesan correos electrónicos: Anulación de Instrucciones, Exfiltración de Datos y Contrabando de Tokens. Estos métodos explotan la incapacidad del agente para distinguir instrucciones legítimas de instrucciones maliciosas incrustadas en el texto del correo.

OpenClaw Skill Analyzer: Escáner de Seguridad Estática para Habilidades de Agentes de IA
Un desarrollador creó un analizador estático que escanea las habilidades de OpenClaw en busca de riesgos de seguridad antes de la instalación, con más de 40 reglas de detección en 12 categorías que incluyen inyección de prompts y exfiltración de datos.