Claude Code Security: análisis técnico y opinión real

Cuando Anthropic anuncio Claude Code Security el 20 de febrero de 2026, el titular que circulo fue “IA que encuentra vulnerabilidades que estuvieron ocultas durante decadas”. Suena impresionante. Suena a marketing. Y en parte lo es.

Pero la parte tecnica es real y vale la pena entenderla, porque no es solo una herramienta de scanning mas: es un cambio de enfoque en como la IA razona sobre seguridad de codigo. Al mismo tiempo, Claude Code tuvo sus propias vulnerabilidades criticas en los ultimos meses, y eso tambien hay que mirarlo con honestidad.

Mi lectura, despues de revisar la documentacion oficial, los CVEs, investigacion academica y benchmarks de terceros:

Claude Code Security es un avance genuino en deteccion contextual de vulnerabilidades, con una arquitectura de seguridad solida para lo que promete, pero requiere entender sus limites antes de depositarle una confianza que todavia no se ha ganado completamente.

¿Que es Claude Code Security?

Claude Code Security es una capacidad integrada en Claude Code on the web que escanea bases de codigo en busca de vulnerabilidades y sugiere parches para revision humana. Fue lanzada el 20 de febrero de 2026 como vista previa de investigacion limitada, disponible para clientes Enterprise y Team.

La diferencia fundamental con herramientas tradicionales como Snyk, SonarQube o CodeQL es el metodo. Los escáneres clasicos buscan patrones conocidos: firma de una vulnerabilidad especifica, regla de un ruleset, match de un CVE ya catalogado. Claude Code Security no hace eso. Segun la documentacion oficial de Anthropic:

“Lee y razona sobre tu codigo de la forma que lo haria un investigador de seguridad humano: comprendiendo como interactuan los componentes, rastreando como se mueven los datos a traves de tu aplicacion.”

Eso implica que puede detectar bugs logicos complejos que no tienen patron conocido, que involucran la interaccion entre multiples modulos, o que requieren entender el flujo de datos de extremo a extremo. No es magia: es un modelo de lenguaje con contexto muy largo aplicado a un problema especifico.

Como solicitar acceso

Para usar Claude Code Security necesitas tener una cuenta en claude.com. Con la cuenta creada, el acceso a la preview se solicita directamente en claude.com/contact-sales/security.

Hay dos vias:

• Clientes Enterprise y Team: solicitud a traves del formulario en ese link, con prioridad para organizaciones con contratos activos.
• Mantenedores de codigo abierto: Anthropic ofrece acceso expedito para proyectos open source. El mismo formulario tiene una opcion especifica para esto.

Si ya tenes una cuenta y un plan Enterprise o Team activo, el proceso es directo. Si no, primero tenes que crear la cuenta y luego contactar ventas para el acceso a la preview.

Resumen en 90 segundos

• Que hace bien: encuentra vulnerabilidades por razonamiento contextual, no por patrones. 500+ bugs en codigo de produccion open source ya encontrados.
• Disponibilidad actual: vista previa limitada Enterprise y Team. No disponible para todos todavia.
• Arquitectura de seguridad propia: sandboxing de filesystem y red, VM por sesion, sistema de permisos granular.
• Sus propios CVEs: tuvo dos vulnerabilidades criticas (RCE y exfiltracion de API keys) parcheadas en oct-2025 y ene-2026.
• Certificaciones: SOC 2 Type II, ISO 27001, ISO 42001. No certifican el codigo que genera, solo sus controles operacionales.
• Prompt injection: tasa de exito del 1% en ataques controlados. Mejor de la industria, pero no es cero.
• Privacidad: no entrena modelos con datos de usuario por defecto.
• Como anotarse: necesitas cuenta en claude.com. El acceso se solicita en claude.com/contact-sales/security. Mantenedores open source tienen acceso expedito.

Como funciona: razonamiento en lugar de patrones

El flujo tecnico de Claude Code Security, segun la documentacion oficial, tiene tres etapas:

1. Analisis contextual profundo

Carga el codebase completo (o las partes relevantes con contexto de 1M tokens) y traza como fluyen los datos entre componentes. No busca “este patron de SQLi” sino “¿hay algun lugar en el que datos no validados del usuario lleguen a una query sin sanitizar, aunque el camino sea de cinco saltos?”.

2. Verificacion multietapa

Una vez que identifica un candidato a vulnerabilidad, aplica capas adicionales de verificacion para filtrar falsos positivos. El objetivo es que lo que llega al developer ya paso por un filtro de confianza. Cada hallazgo incluye clasificacion de severidad y calificacion de confianza.

3. Dashboard de revision humana

Nada se aplica automaticamente. El sistema muestra los hallazgos con su severidad, confianza y el patch sugerido. El developer revisa y aprueba. Este punto es fundamental: no es automatizacion completa, es amplificacion de la capacidad de revision humana.

El numero que vale la pena mencionar

Usando Claude Opus 4.6 en repositorios de codigo abierto de produccion, el equipo de Anthropic encontro mas de 500 vulnerabilidades que habian pasado desapercibidas durante años o decadas a pesar de revisiones expertas. Los tipos de vulnerabilidades incluyen:

• Corrupcion de memoria
• Fallas de inyeccion
• Bypasses de autenticacion
• Errores de logica compleja

Que bugs de decadas aparezcan cuando se aplica razonamiento contextual mas profundo no sorprende a quien haya trabajado en proyectos grandes. Lo que sorprende es la escala. 500 bugs en codigo bien revisado es un dato que justifica tomarse esto en serio.

Arquitectura de seguridad de Claude Code

Antes de hablar de Claude Code Security como herramienta de deteccion, hay que entender que el propio Claude Code tiene una arquitectura de seguridad para proteger al developer que lo usa.

Sandboxing de filesystem

Claude Code solo puede escribir en el directorio donde fue iniciado y sus subcarpetas. No puede modificar archivos en directorios superiores sin aprobacion explicita. La lectura fuera del directorio de trabajo esta permitida para acceso a librerias del sistema, pero la escritura esta restringida por defecto.

Esto es importante porque limita el radio de daño si algo sale mal, ya sea por un bug propio, por contenido no confiable que entra al contexto, o por un escenario de prompt injection.

Sandboxing de red

Las solicitudes de red requieren aprobacion por defecto. Claude Code solo accede a internet a traves de un proxy, y el acceso a URLs arbitrarias esta bloqueado. Los comandos de alto riesgo como curl y wget estan en una blocklist que requiere aprobacion explicita para ejecutarse.

Internamente, Anthropic reporto una reduccion del 84% en solicitudes de permisos manteniendo el mismo nivel de seguridad, lo que sugiere que el sistema de permisos granular funciona bien en la practica: menos interrupciones para el developer, mismo nivel de control.

VM aislada por sesion (Claude Code on the web)

Cuando usas Claude Code en la version web (no CLI), cada sesion corre en una maquina virtual aislada gestionada por Anthropic. Los controles incluyen:

• Acceso a red limitado por defecto, configurable por dominio
• Autenticacion manejada mediante proxy con credencial de alcance limitado
• Operaciones de git push restringidas a la rama actual
• Todas las operaciones registradas para auditoria
• Ambiente terminado automaticamente al finalizar la sesion

Sistema de permisos granular

El sistema de permisos puede configurarse a tres niveles:

• Por usuario: preferencias personales
• Por repositorio: reglas especificas del proyecto
• Por organizacion: estandares de equipo

Esto permite que un equipo comparta configuracion de permisos aprobada a traves de control de versiones, lo cual es practico para gobernanza real.

Herramienta Bash sandboxed

Las ventanas de contexto para web fetch estan aisladas de la sesion principal, lo que previene que contenido malicioso en paginas web contamine el contexto de la tarea. Los comandos bash complejos incluyen descripciones en lenguaje natural para que el developer entienda que va a aprobar.

Las vulnerabilidades que encontro… y las que tuvo el mismo

Esta es la seccion que muchos articulos sobre Claude Code Security omiten, y me parece el punto mas honesto del analisis.

Claude Code, la herramienta que ahora se propone como solución de seguridad, tuvo dos vulnerabilidades criticas propias en los ultimos meses. Las conozco, y creo que hay que entenderlas.

CVE-2025-59536: RCE via MCP User Consent Bypass (CVSS 8.7 - Critico)

Mecanismo: Hooks y servidores MCP se configuran en .claude/settings.json y .mcp.json, archivos controlados por el repositorio. Estos ejecutan comandos shell al iniciar sesion. El problema: los comandos se ejecutaban automaticamente sin confirmacion explicita del usuario, incluso aunque habia un dialogo de “confianza” inicial, que Claude Code mostraba despues de haber lanzado la ejecucion.

Vector de ataque: Un atacante con acceso al repositorio (o que lograra comprometerlo) inyectaba comandos maliciosos en .claude/settings.json o habilitaba servidores MCP maliciosos en .mcp.json. Cuando cualquier developer del equipo abria el proyecto, los comandos se ejecutaban en el trasfondo antes de que pudiera leer el dialogo de advertencia.

Impacto real: Shell inverso completo, acceso total a la maquina del developer, ejecucion de codigo arbitrario con permisos del usuario.

Cronologia: Reportado a Anthropic el 3 de septiembre de 2025. Parcheado en septiembre de 2025. Publicado por Check Point Research el 3 de octubre de 2025.

CVE-2026-21852: Exfiltracion de API Keys via ANTHROPIC_BASE_URL (CVSS 5.3 - Moderado)

Mecanismo: La variable ANTHROPIC_BASE_URL controla a donde Claude Code envia sus solicitudes de API, configurable en .claude/settings.json. Claude Code iniciaba solicitudes API antes de que el usuario confirmara el dialogo de confianza del repositorio. Cada solicitud incluia el header de autorizacion con la API key en texto plano.

Vector de ataque: Un atacante configuraba un proxy malicioso como valor de ANTHROPIC_BASE_URL en el repositorio. Cuando el developer abria el proyecto, Claude Code enviaba su API key al servidor del atacante antes de que pudiera leer el dialogo de advertencia.

Impacto real: Con acceso a la API key, el atacante obtenia acceso al workspace: lectura/escritura de archivos del equipo, agotamiento de creditos API.

Cronologia: Reportado a Anthropic el 28 de octubre de 2025. Parcheado y publicado por Check Point Research el 21 de enero de 2026. Afecta versiones anteriores a 2.0.65.

Mi opinion sobre todo esto: El hecho de que Claude Code haya tenido estas vulnerabilidades no me parece alarmante en si mismo. Todas las herramientas de desarrollo tienen CVEs, el ecosistema de VS Code extensiones tiene un historial peor. Lo que importa es la velocidad del parche y la calidad de la comunicacion. Anthropic parcheo ambos CVEs con rapidez y el proceso fue documentado publicamente por Check Point Research.

Lo que si me parece un riesgo real es que muchos equipos de desarrollo no actualizan sus herramientas con la misma diligencia con la que actualizan dependencias de produccion. Si tu equipo usa versiones anteriores a las parcheadas, estas expuesto a vulnerabilidades conocidas. Eso es un problema de higiene operacional, no de la herramienta.

Defensa contra prompt injection

El prompt injection es el problema de seguridad mas profundo de los AI assistants que operan en entornos no confiables: que pasa cuando el modelo lee contenido malicioso (una pagina web, un comentario de codigo, un mensaje de commit) que intenta redirigir sus acciones.

El numero actual

Claude Opus 4.5 (el modelo que alimenta varias capacidades de Claude Code) tiene una tasa de exito de ataque de inyeccion de prompts del 1% en pruebas controladas. Anthropic mismo reconoce que “esto sigue representando un riesgo significativo” y que el problema no esta completamente resuelto.

Para dar contexto: 1% es el mejor numero publico de la industria para un assistant de coding. Pero en un equipo de 50 developers usando Claude Code activamente en decenas de repositorios diarios, ese 1% puede materializarse.

Como se construye la defensa

Anthropic aplica capas:

1. Entrenamiento mediante Reinforcement Learning

El modelo fue expuesto a inyecciones de prompts en contenido web simulado durante el entrenamiento. Recibe recompensas por identificar correctamente instrucciones maliciosas y por resistir seguirlas. Esto no garantiza inmunidad, pero eleva el umbral de ataque.

2. Clasificadores de contenido no confiable

Escáneres adicionales que analizan el contenido antes de que llegue al modelo: detectan comandos adversariales en texto oculto, imágenes manipuladas, elementos UI engañosos, y otros vectores tipicos de inyeccion en contextos web y de codigo.

3. Red team humano

Investigadores de seguridad humanos hacen intentos creativos de inyeccion que los sistemas automatizados no cubren. Es la capa mas costosa pero tambien la que descubre vectores genuinamente novedosos.

4. Constitutional AI como base

El entrenamiento de Claude incorpora Constitutional AI, un metodo de Anthropic que usa una lista de principios para guiar el comportamiento del modelo mediante aprendizaje supervisado y reforzado. Esto crea una base de resistencia a instrucciones que contradicen los principios configurados, antes de que lleguen las capas especificas de defensa contra inyeccion.

5. Arquitectura de aislamiento

Las ventanas de contexto para fetch de contenido externo estan separadas de la sesion principal. Esto limita el vector de “el modelo lee una pagina web que tiene instrucciones maliciosas incrustadas y las ejecuta como si fueran del usuario”.

Mi lectura

El 1% es real y no es trivial. La defensa en profundidad que describe Anthropic es solida en papel, pero el problema de prompt injection en agentes que tienen acceso a herramientas reales (filesystem, terminal, red) es fundamentalmente dificil. Cualquier equipo que use Claude Code en pipelines automatizados o en entornos donde el contenido del codebase puede contener inputs de terceros deberia tener esto en cuenta y mantener revisiones humanas en los puntos criticos.

Certificaciones y cumplimiento

Anthropic mantiene las siguientes certificaciones documentadas en trust.anthropic.com:

Certificacion	Alcance
ISO 27001:2022	Gestion de seguridad de informacion
ISO/IEC 42001:2023	Sistemas de gestion de IA
SOC 2 Type I	Evaluacion puntual de controles de seguridad
SOC 2 Type II	Auditoria continua de efectividad operacional
HIPAA-ready	Configuracion lista, BAA disponible bajo solicitud

Que cubren y que no cubren

Esto es importante aclararlo porque vi mucha confusion al respecto: estas certificaciones cubren los controles de seguridad operacional de Anthropic: sus practicas de manejo de datos, controles de acceso, procedimientos de respuesta a incidentes, y el funcionamiento de su infraestructura.

No certifican:

• La corrección o seguridad del código que Claude genera
• Que los outputs de Claude esten libres de vulnerabilidades
• Que el codigo generado cumpla ningun estandar especifico de tu industria

SOC 2 Type II es una certificacion de que Anthropic maneja bien sus propios sistemas. No es una bendicion de cumplimiento para los artefactos que produce. Si tu equipo necesita demostrar cumplimiento regulatorio sobre el codigo generado por IA, eso es una capa separada que depende de tus propios controles y procesos de revision.

Privacidad y manejo de datos

Uno de los temas que mas preocupa a equipos de desarrollo cuando consideran herramientas de AI coding es: ¿mi codigo propietario se usa para entrenar modelos?

La postura de Anthropic

Por defecto, Anthropic no entrena sus modelos con prompts o respuestas de:

• Usuarios Free
• Usuarios Pro
• Usuarios Max
• Usuarios Enterprise

La excepcion: si el usuario explicitamente habilita “mejorar Claude con tus chats”, Anthropic puede retener datos en formato des-identificado hasta 5 años. Esto es opt-in, no opt-out.

Medidas tecnicas

• Encriptacion automatica en transito (TLS) y en reposo (AES-256)
• Claves API y tokens almacenados encriptados, no en texto plano
• Credenciales manejadas mediante proxy seguro en la version web

Mi recomendacion practica

Antes de cargar codigo propietario, secretos, o datos con PII en Claude Code:

1. Leer el DPA (Data Processing Agreement) del contrato Enterprise
2. Verificar con el equipo legal si el tipo de datos que vas a usar esta cubierto
3. Nunca cargar archivos .env, credenciales, o PII directamente al contexto si podes evitarlo
4. Usar .claudeignore para excluir archivos sensibles del contexto

No porque Anthropic vaya a hacer algo malicioso con ellos, sino porque el menor privilegio es buena practica independientemente de la confianza que tengas en el proveedor.

Comparativa: Claude Code vs GitHub Copilot en seguridad

Esta comparacion aparece mucho en discusiones de equipos enterprise, y vale la pena hacerla con numeros reales en lugar de preferencias.

Aspecto	Claude Code	GitHub Copilot
Calidad de codigo (SWE-bench Verified)	80.9% (Opus 4.6)	56.5% (GPT-4.1 default)
Alucinaciones	Menor frecuencia	Mayor frecuencia
Sandboxing de filesystem	Si, por defecto	Limitado al IDE
Sandboxing de red	Si, via proxy	Depende del entorno
VM aislada por sesion	Si (version web)	No
Gobernanza empresarial	Requiere responsabilidad del usuario	Nativa via GitHub
Indemnidad de IP	No	Si (Business $19/u, Enterprise $39/u)
Certificaciones	SOC 2 II, ISO 27001, ISO 42001	SOC 2, ISO 27001
Code scanning integrado	Claude Code Security (preview)	Code Scanning Autofix (GA)
Deteccion de vulnerabilidades	Razonamiento contextual	Pattern matching + CodeQL
Prompt injection defense	1% tasa de exito (mejor publico)	No publicado

Mi lectura de esta tabla

La brecha de 25 puntos en SWE-bench (80.9% vs 56.5%) es significativa. En la practica se traduce en menos iteraciones para llegar a codigo correcto, menos alucinaciones de funciones imaginarias, y mejor seguimiento de instrucciones en tareas multi-paso.

Sin embargo, GitHub Copilot tiene ventajas reales en gobernanza corporativa que no se deben ignorar. La indemnidad de IP es importante para organizaciones en industrias reguladas o con alta exposicion legal: si Copilot genera codigo que resulta ser infringement, Microsoft tiene un programa de proteccion legal. Claude Code no ofrece ninguna garantia equivalente hoy.

La integracion nativa con GitHub de Copilot (control de acceso basado en roles, politicas de uso, auditoria completa, restricciones de contenido e IP) esta mas madura para entornos enterprise donde el departamento de IT necesita control centralizado. Claude Code pone mas responsabilidad en el developer y en el equipo.

La eleccion correcta depende de tu contexto: si priorizas calidad de razonamiento y codigo complejo, Claude Code gana. Si priorizas gobernanza corporativa madura e indemnidad de IP, Copilot tiene mas infraestructura construida alrededor de eso.

Riesgos generales de AI coding assistants que Claude Code no resuelve

Es facil focalizarse en lo que Claude Code Security hace bien y perder de vista que hay riesgos estructurales del AI coding que ninguna herramienta resuelve completamente hoy.

Los numeros que preocupan

• 39 millones de secretos filtrados en repositorios publicos de GitHub en 2024, un numero que crece con la adopcion de IA (fuente: GitHub Secret Scanning Report 2024)
• Multiples estudios academicos sobre AI code assistants documentan que los modelos reproducen patrones inseguros del training data, ya que fueron entrenados sobre codigo publico que incluye codigo vulnerable
• La adopcion masiva de herramientas de AI coding sin revisar el output es el mayor amplificador de riesgo que existe hoy en la industria

El problema de la sobre-confianza

El patron de riesgo mas peligroso en tecnologia es la combinacion de mayor confianza y menor calidad real. La sensacion de que el AI “ya lo reviso” lleva a menos revision humana, que es justamente cuando mas se necesita.

Claude Code Security apunta directamente a este problema dando una capa de revision automatica antes de aplicar cambios. Pero si el developer trata ese output como validacion final en lugar de como un primer filtro, el problema de fondo persiste.

Claude Code Security agrega una capa de revision automatica, pero el problema de fondo es cultural: si los developers tratan el output del AI como verificado por defecto, una herramienta de scanning adicional no cambia el patron.

Riesgos que persisten

• Codigo vulnerable del training data: Claude fue entrenado sobre codigo publico, que incluye codigo inseguro. Puede reproducir patrones inseguros sin que sea obvio.
• Cadena de suministro: Claude puede sugerir dependencias vulnerables o deprecadas. Esto requiere herramientas complementarias de SCA (Software Composition Analysis).
• Exposicion de secretos: Si cargas archivos con credenciales al contexto, eso viaja a los servidores de Anthropic independientemente de la politica de no-entrenamiento.
• Logica de negocio: Las vulnerabilidades en logica de negocio son las mas dificiles de detectar automaticamente, incluso con razonamiento contextual. Requieren conocimiento del dominio especifico.

Mejores practicas para usar Claude Code de forma segura

Basado en la documentacion oficial y en los CVEs que tuvo la herramienta, estas son las practicas que aplicaria:

Para codigo sensible

• Revisar todos los cambios sugeridos antes de aprobacion, sin excepcion
• Configurar permisos especificos por repositorio para proyectos criticos
• Usar devcontainers para aislamiento adicional cuando sea posible
• Auditar regularmente la configuracion con /permissions
• Mantener Claude Code actualizado: hoy esto significa v1.0.111+ y v2.0.65+

Para trabajo en equipo

• Compartir configuracion de permisos aprobada a traves de control de versiones
• Documentar que tipos de tareas el equipo aprueba para automatizacion vs las que siempre requieren revision manual
• Capacitar a developers nuevos en que son los hooks y los servidores MCP antes de que abran proyectos con estas configuraciones
• Monitorear uso via metricas OpenTelemetry si estan disponibles en tu plan

Para contenido no confiable

• No hacer pipe directo de contenido de fuentes externas al contexto de Claude sin revision previa
• Verificar cambios propuestos a archivos de configuracion criticos (especialmente .claude/settings.json, .mcp.json)
• Usar VMs para ejecutar scripts o interactuar con servicios web externos
• Reportar comportamiento sospechoso con /bug para que Anthropic pueda mejorar las defensas

Para secretos y credenciales

• Usar .claudeignore para excluir .env, archivos de configuracion con credenciales, y cualquier archivo con datos sensibles
• Nunca aprobar comandos que hagan curl o wget a URLs que no reconoces
• Revisar cualquier configuracion de ANTHROPIC_BASE_URL en repositorios de terceros antes de abrir el proyecto (el vector del CVE-2026-21852)

Mi veredicto

Claude Code Security como herramienta de deteccion de vulnerabilidades es un avance real. La diferencia entre razonamiento contextual y pattern matching no es marketing: es la razon por la que encontro 500+ bugs en codigo que paso por revisiones humanas expertas. Para equipos con bases de codigo grandes y legacy, eso tiene valor concreto.

La arquitectura de seguridad del propio Claude Code es solida para lo que promete: sandboxing de filesystem y red, VM por sesion, sistema de permisos granular, y un historial de parches rapidos cuando aparecen vulnerabilidades propias.

El historial de CVEs es algo que prefiero ver documentado y parcheado que ignorado. CVE-2025-59536 y CVE-2026-21852 son ejemplos de vulnerabilidades que existieron, fueron reportadas responsablemente, y fueron parcheadas con velocidad. Eso habla mejor de un equipo de seguridad que la ausencia de CVEs en un tooling que nadie audito.

Lo que no me convence todavia:

• 1% de tasa de ataque por prompt injection no es 0%. En entornos donde Claude Code procesa contenido de fuentes no confiables a escala, eso es un riesgo que no desaparece con optimismo.
• La confianza excesiva es el mayor riesgo. Claude Code Security no reemplaza la cultura de revision. Si los developers ven el output como “ya validado por IA”, la herramienta puede generar mas riesgo del que mitiga.
• No hay indemnidad de IP. Para organizaciones con exposicion legal, esto es un gap real comparado con Copilot Enterprise.
• Es una preview limitada. A marzo 2026, Claude Code Security no esta disponible para todos. Las promesas de la herramienta son reales, pero el acceso es restringido y la maduracion del producto continua.

¿Quien deberia adoptarlo hoy?

• Si: equipos Enterprise o Team con bases de codigo legacy grandes, con recursos para revision humana de los hallazgos, que ya esten en compliance con sus propios controles y quieran una capa adicional de deteccion.
• Con cautela: equipos mas pequeños o con menos madurez de seguridad, donde el riesgo de sobre-confianza en el output de la IA es alto.
• No todavia: proyectos con requerimientos estrictos de indemnidad de IP, o donde los datos del codebase tienen restricciones legales sobre salir de la infraestructura propia.

En la frontera actual de AI coding security, Claude Code Security es de lo mejor que existe. Pero “de lo mejor que existe” en 2026 todavia requiere criterio humano, actualizaciones frecuentes, y entender sus limites antes de confiar en sus fortalezas.

Fuentes

• Anthropic - Claude Code Security (Anuncio Oficial, febrero 2026)
• Claude Code Documentation - Security
• Anthropic Engineering - Claude Code Sandboxing
• Anthropic Research - Prompt Injection Defenses
• Anthropic Trust Center
• Check Point Research - RCE and API Token Exfiltration Through Claude Code Project Files (CVE-2025-59536, CVE-2026-21852)
• GitHub - Secret scanning: 39 million secrets found (2024)
• Anthropic - Constitutional AI: Harmlessness from AI Feedback
• The Hacker News - Anthropic Launches Claude Code Security
• Anthropic Privacy Center - How Anthropic protects user data