Claude Code quiere saber tus contraseñas, incluso si se lo prohibiste expresamente
Detectan una vulnerabilidad en el asistente de IA de Anthropic que permite leer archivos protegidos
Los desarrolladores, acostumbrados a confiar en la automatización, pueden sorprenderse desagradablemente con un nuevo hallazgo de especialistas. El asistente de IA Anthropic Claude Code ignora archivos que ni siquiera debería abrir. Se trata de archivos de servicio con contraseñas, tokens y claves de acceso, que los desarrolladores suelen ocultar a miradas ajenas.
En proyectos, los programadores con frecuencia guardan datos secretos en archivos .env. Según la práctica estándar, esos archivos se excluyen de los repositorios mediante .gitignore, para que no queden de acceso público. En Claude Code se implementó un mecanismo similar con el archivo .claudeignore que, según el propio asistente, debería prohibirle leer los archivos indicados.
Sin embargo, en la práctica esto no funciona. Como muestra la publicación en Pastebin, Claude Code lee sin problemas el contenido de .env, incluso si ese archivo está incluido en .claudeignore. En la prueba crearon un directorio, añadieron allí un .env con «secretos» de prueba, indicaron en .claudeignore las líneas ".env" y ".env.*", ejecutaron Claude Code versión 2.1.12 desde la línea de comandos y pidieron al modelo que leyera el archivo. El asistente mostró sin dificultad su contenido, aunque lógicamente no debería tener acceso.
El problema se agrava porque Claude también ignora .gitignore. Incluso con activada la opción «Respetar .gitignore en el selector de archivos», que debería tener en cuenta las reglas de exclusión, el modelo lee .env y muestra los datos, acompañándolo con una advertencia de que el archivo contiene credenciales y no debería añadirse al sistema de control de versiones.
Esto crea riesgos serios de seguridad, especialmente para los llamados modelos agentes, que pueden ejecutar acciones con herramientas y archivos. En ese escenario, en principio se podría forzar a la IA a revelar datos secretos mediante indicios indirectos y manipulación de las solicitudes.
El problema ya se ha documentado en el repositorio Claude Code en GitHub. En una de las solicitudes abiertas con la etiqueta «alta prioridad» se afirma directamente que el modelo revela tokens y secretos en la salida de herramientas, y que se trata de una vulnerabilidad crítica. Quejas similares aparecieron ya en noviembre de 2025, así como en varios informes de errores recientes en las últimas semanas. En todos ellos los desarrolladores indican que Claude no debería leer los archivos listados en .claudeignore, con las mismas reglas que .gitignore.
Formalmente existe otra forma de restringir el acceso mediante la configuración de permisos en el archivo settings.json dentro del directorio .claude. En ese caso Claude efectivamente bloquea la lectura de .env y comunica que el archivo está prohibido por las políticas de acceso, ya que suele contener datos secretos. Pero ese mecanismo también resultó complicado de configurar. Los desarrolladores se quejan de la sintaxis no estándar de rutas, en la que las rutas absolutas comienzan con "//" y no con "/", así como de errores en la gestión de enlaces a archivos y de que algunas prohibiciones no impiden la carga de los archivos en memoria.
Además, los desarrolladores insisten cada vez más en que, si el único método eficaz de protección es settings.json, eso debería indicarse de forma clara y precisa en la documentación. Actualmente el propio asistente de IA aconseja usar .claudeignore, lo que induce a error a los usuarios y crea una falsa sensación de seguridad.