Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, ha identificado un nuevo riesgo de seguridad relacionado con el uso de asistentes de programación basados en inteligencia artificial, como Claude Code. La compañía ha detectado que estos asistentes pueden publicar de forma accidental credenciales sensibles en el ecosistema npm.

El origen del problema reside en el modelo de permisos de Claude Code. Cuando un desarrollador autoriza la ejecución de comandos, estos se almacenan en el archivo .claude/settings.local.json dentro del proyecto. Este archivo puede contener tokens, claves API o credenciales embebidas en los comandos aprobados. Si no se excluye explícitamente antes de publicar el paquete, esa información es pública.

A diferencia de otros archivos sensibles como .env, este archivo no cuenta con mecanismos de protección ni alerta durante el proceso de publicación. Además, su apariencia (una simple lista de comandos) dificulta que los desarrolladores identifiquen el riesgo.

Para dimensionar el alcance, Check Point Software cuenta con un sistema automatizado que monitoriza el registro de npm y analiza los paquetes publicados. Durante el periodo de estudio se examinaron cerca de 46.500 paquetes, de los cuales 428 incluían el archivo .claude/settings.local.json. En 33 casos, correspondientes a 30 paquetes, se identificaron credenciales sensibles, lo que supone que aproximadamente uno de cada trece archivos expuestos contenía información crítica.

Entre los datos encontrados se incluyen tokens de autenticación de npm, credenciales en texto plano (usuario, contraseña y correo electrónico), tokens de acceso personal de GitHub, claves de API de servicios como Telegram o Hugging Face, así como credenciales utilizadas en entornos de prueba. En algunos casos, estos accesos permiten control total sobre servicios o cuentas.

La facilidad con la que se produce esta exposición se explica por el uso cotidiano de herramientas de IA en desarrollo. Durante el flujo de trabajo, los desarrolladores aprueban múltiples comandos, algunos de los cuales incluyen autenticación. Al seleccionar opciones como “allow always”, estos comandos quedan registrados permanentemente sin que exista una revisión posterior antes de la publicación del paquete.

“Los archivos como .npmignore y .gitignore existen por una razón principal: no publicar secretos. Lo que demuestra esta investigación es que los asistentes de programación basados en IA están introduciendo nuevas formas de crear, almacenar y exponer accidentalmente esos secretos. Incluso cuando estas salvaguardas son generadas por IA, el sistema aún no entiende cómo protegerse de sí mismo. Para las organizaciones, la conclusión es clara: no se debe asumir que las protecciones generadas por IA son correctas solo porque parecen correctas. Cualquier archivo creado con fines defensivos, como reglas de exclusión o configuraciones de seguridad, debe ser validado por una persona para garantizar que cumple realmente su función”, afirma Steve Giguere, responsable principal de seguridad de IA en Check Point Software.

Check Point Software recomienda a los equipos de desarrollo revisar sus procesos de publicación y adoptar medidas preventivas sencillas pero efectivas. Entre ellas, incluir el directorio .claude/ en los archivos .npmignore y .gitignore, así como verificar el contenido del paquete antes de su publicación mediante comandos como npm pack –dry-run.

Asimismo, la compañía advierte que los paquetes publicados en npm son permanentes. Aunque una versión pueda marcarse como obsoleta, su contenido sigue siendo accesible. Por ello, cualquier credencial expuesta debe considerarse comprometida desde el momento de su publicación y debe ser revocada y reemplazada inmediatamente. Este descubrimiento demuestra la necesidad de adaptar las prácticas de protección a un entorno donde la inteligencia artificial no solo asiste en la creación de código, sino que también introduce nuevos vectores de riesgo.