Claude instala paquetes de npm solo y uno malicioso puede robar tus archivos

La función Computer Use de Claude hace algo que un chatbot común no puede. Abre una terminal en tu computadora e instala software por vos, incluidos paquetes que baja directo de npm, el registro de código abierto más grande del mundo. El atractivo es claro, porque reduce «armame este proyecto» a una sola frase. La exposición está en esa misma frase, porque apenas un paquete llega, npm puede correr el código de arranque que ese paquete trae consigo, y ahora quien aprieta el gatillo es un agente autónomo.

Para cualquiera que deje a un agente de IA escribir o correr código, y cada vez son más los programadores, aficionados y curiosos sin formación técnica, la pregunta práctica es directa. Si Claude instala un paquete que nunca revisaste, y ese paquete se diseñó para copiar tus archivos apenas cae, ¿quién tenía que frenarlo? Un video reciente de un investigador de seguridad recorre justo esa situación y muestra un paquete trampa leyendo archivos locales durante una instalación rutinaria que la IA hizo sin dudar.

El mecanismo no es nuevo, y eso es justo lo que lo vuelve grave. Los paquetes de npm pueden declarar scripts de instalación, pequeñas instrucciones que se ejecutan de forma automática apenas el paquete se agrega a un proyecto, antes de que se use una sola línea suya a propósito. Es un comportamiento documentado, no una falla. Permite que herramientas legítimas se compilen o preparen su entorno. También significa que cualquier paquete puede correr código en tu máquina al instalarse, con los mismos permisos que vos, y los equipos de seguridad lo advierten desde hace años.

El mundo recibió un recordatorio claro de lo que está en juego cuando unos atacantes tomaron la cuenta de mantenedor de Axios, una librería de red que se descarga decenas de millones de veces por semana, y le metieron una dependencia maliciosa que instalaba un troyano de acceso remoto en las máquinas de los desarrolladores. Nunca tocaron el código real de Axios. El script de instalación hizo el trabajo. Axios resulta ser una pieza dentro del propio Claude Code, junto a un montón de aplicaciones más, lo que muestra la poca distancia que hay entre la herramienta en la que confiás y el código que arrastra detrás sin que lo veas.

Lo que la demostración suma a esa postal conocida es el agente. Una persona que lanza una instalación al menos puede pararse, leer el nombre del paquete, notar que está mal escrito o que se publicó hace un rato, y echarse atrás. Un agente de IA que actúa sobre una orden imprecisa no tiene ese reflejo. Instala lo que decide que necesita. Y como Computer Use también lee la pantalla, mueve el cursor y escribe, una sola dependencia envenenada no se queda encerrada en el editor de código. Se mueve por todo el escritorio.

Conviene ser preciso sobre lo que esto es y lo que no es. No es una puerta trasera oculta y exclusiva de Claude, ni la prueba de que engañaron al modelo para saltarse sus propias reglas. Es el resultado previsible de darle a cualquier programa autónomo la capacidad de instalar software, sumado a un registro que corre código de instalación por defecto desde hace más de una década. Cambiá Claude por cualquier otro agente de programación con los mismos permisos y la foto es idéntica. El peligro vive en la autonomía y en el registro, no en el chatbot de una empresa.

Anthropic, de hecho, hace rato que empuja en sentido contrario. Hace poco lanzó un sandbox para sus herramientas de programación que aísla al agente del resto del sistema, limita qué archivos puede leer y a qué servidores puede llegar, y publicó como código abierto el kit de aislamiento que lo sostiene para que otros lo usen. El razonamiento es el que la demo deja a la vista. Un agente que no llega a tus claves SSH no puede filtrarlas, y un agente que no puede contactar un servidor desconocido no puede mandar tus archivos a ningún lado. La empresa dice que esas barreras reducen alrededor de un 84 por ciento los pedidos de permiso que le muestra al usuario, lo que importa porque una herramienta que pregunta por todo termina enseñando a la gente a apretar que sí.

Para quien usa estas herramientas a diario, las defensas son aburridas y eficaces. Corré el agente dentro de un sandbox, un contenedor o una máquina virtual descartable, así lo máximo que puede alcanzar un paquete malo es un entorno prescindible. Desactivá los scripts de instalación automáticos cuando el flujo de trabajo lo permita, algo que algunos gestores de paquetes recientes ya hacen por defecto. Mantené credenciales, claves y archivos personales fuera de la máquina donde el agente anda suelto. Y tratá «instalame esto» con el cuidado que le darías a «abrí este adjunto del correo», porque por debajo se parece más a eso de lo que parece.

El paquete puntual de la demostración es la prueba de un investigador, no un brote real, y no hay señales de que llegara a usuarios de verdad. El patrón que hay detrás es lo que no se va a quedar quieto. La programación con agentes se está volviendo la norma más rápido que las costumbres pensadas para que sea segura, y los registros en los que se apoyan estos agentes nunca se diseñaron para un mundo donde quien teclea la orden de instalar no es una persona. Hasta que esa brecha se cierre, la regla más vieja de la seguridad informática apunta ahora a un usuario nuevo: lo que tu agente instala, lo corre, así que decidí qué puede tocar antes de dejarlo arrancar.