Problema 6847

Loading...
Claude Code ignora las reglas destinadas a bloquear secretos
theregister.com · 2026

¿No te molesta que las máquinas no puedan seguir instrucciones sencillas? El código Claude de Anthropic no acepta "ignorar" como respuesta y sigue leyendo contraseñas y claves API, incluso cuando se supone que tu archivo de secretos está bloqueado.

Los desarrolladores de software suelen almacenar secretos (contraseñas, tokens, claves API y otras credenciales) en archivos .env dentro de los directorios del proyecto. Y si lo hacen, deben asegurarse de que el archivo .env no se publique en un repositorio .git de acceso público.

Una forma común de hacerlo es crear una entrada en un archivo .gitignore que le indica al software Git del desarrollador que ignore ese archivo al copiar un repositorio local a un servidor remoto.

Claude implementa algo similar: un archivo .claudeignore.

Cuando se le preguntó: "Si creo un archivo .env, ¿cómo impido que lo lean?", Claude respondió: "Pueden agregar .env a un archivo .claudeignore en la raíz de su proyecto. Esto funciona como .gitignore: Claude Code se negará a leer cualquier archivo que coincida con los patrones listados allí".

Pero Claude se equivoca. Como se describe en esta publicación de Pastebin, Claude puede leer el contenido de un archivo .env a pesar de que existe una entrada en el archivo .claudeignore que debería impedir el acceso.

The Register reprodujo este resultado. Creamos un directorio, creamos un archivo .env con secretos de ejemplo, agregamos un archivo .claudeignore con ".env" y ".env.*" y luego iniciamos Claude Code (v2.1.12) mediante la CLI. Le pedimos a Claude que leyera el archivo .env y lo hizo, lo cual no ocurriría si Claude respetara las entradas .claudeignore.

Esto tiene posibles implicaciones de seguridad, especialmente para los agentes: estos modelos de IA habilitados por herramientas podrían verse inducidos a compartir secretos almacenados mediante la inyección indirecta de indicaciones.

Además, Claude también ignorará la presencia de ".env" en un archivo .gitignore. Lo hace a pesar de la opción /config predeterminada que establece "Respetar .gitignore en el selector de archivos" como "verdadero".

De hecho, cuando se le pide que lea el archivo .env en un proyecto con una entrada .gitignore que incluye ".env", Claude imprime diligentemente los secretos en la consola, con la siguiente advertencia: "Nota: Este archivo contiene credenciales. Tenga cuidado al enviarlo al control de versiones; asegúrese de que .env esté incluido en su .gitignore".

La disposición de Claude a ignorar las directivas .claudeignore se cita en una publicación de problema abierto en el repositorio de GitHub de Claude Code: "[ALTA PRIORIDAD] Claude expone secretos/tokens en la salida de la herramienta - sin redacción". La persona que abrió el problema hace dos días señala: "Este es un problema crítico para la seguridad que debe abordarse con urgencia".

No se ha abordado. Dos publicaciones de noviembre de 2025 plantean la misma preocupación. Otro problema abierto creado hace dos semanas también señala la disposición de Claude a mostrar secretos. Al igual que otro informe de error de hace tres semanas que indica: "Claude debería abstenerse de leer o incluso estar al tanto de cualquier contenido del archivo .claudeignore, utilizando las mismas reglas de análisis estándar que para un archivo .gitignore".

Hay maneras de indicarle a Claude que evite secretos que parecen funcionar, como especificar permisos dentro de un archivo settings.json en el directorio .claude de un proyecto.

Cuando creamos ese archivo, como se describe en la documentación, Claude reportó un error: "El archivo .env está bloqueado por la configuración de permisos. Este es el comportamiento esperado; los archivos .env suelen contener secretos (claves API, contraseñas, credenciales de la base de datos), por lo que se excluyen del acceso a la herramienta como medida de seguridad".

Pero configurar estos permisos puede ser complicado. Un informe de error que plantea esta inquietud incluye una respuesta que explica que la sintaxis de Claude para las rutas absolutas comienza con dos "//" en lugar de "/", como los usuarios de Linux y macOS podrían esperar. Los desarrolladores también han abierto problemas que informan de problemas con la sintaxis de referencia de archivo @ en settings.json. Además, existen otros problemas, como que permissions.deny no impide que los archivos se carguen en memoria.

Anthropic no respondió a una solicitud de comentarios.

Si settings.json está destinado a ser la única forma compatible de denegar el acceso a los archivos de Claude, Anthropic debería aclarar que .claudeignore no es una opción. Las recomendaciones del modelo deberían alinearse con las mejores prácticas, en lugar de confundir a los usuarios. ®

Leer la Fuente