← Alertas
Vulnerabilidad Medio En monitoreo

Una falla en la integración de IA con GitHub permitía tomar control de repositorios públicos

Una falla en la GitHub Action de Claude Code permitía tomar control de repositorios públicos mediante un issue especialmente diseñado. Anthropic corrigió la falla. Equipos que usan esta integración deben confirmar que están en la versión actualizada.

2026-06-04 · The Hacker News

Qué ocurrió

Un investigador de seguridad encontró una falla en la GitHub Action de Claude Code —la integración que permite automatizar tareas con IA en repositorios de GitHub— que daba a cualquier atacante control sobre repositorios públicos que la usaran con solo abrir un issue. El propio repositorio de Anthropic era vulnerable: un ataque exitoso habría podido inyectar código malicioso en la acción misma y propagarlo a todos los proyectos que dependen de ella. Anthropic corrigió la falla tras el reporte.

Quién está expuesto

Para organizaciones

Equipos de desarrollo con repositorios públicos en GitHub que usan la GitHub Action de Claude Code para automatización de tareas. La falla fue corregida, pero equipos que no actualizaron siguen expuestos.

A considerar

Impacto potencial

Con control sobre el flujo de integración continua, un atacante puede insertar código malicioso antes de que llegue a producción, extraer credenciales y secretos almacenados en el pipeline, o comprometer todos los repositorios que dependen de la misma acción. La cadena de daño no termina en el repositorio afectado.

Leer fuente original →