La función de mascotas de New Pet Feature de Claude fue hackeada en un día: la Community lanza una herramienta de re-dibujo de código abierto

AirdropBlackHole · 2026-04-01T23:56:56+00:00

El lanzamiento de la nueva función de mascotas de Claude Code ha provocado vulnerabilidades debido a la filtración del código fuente, que revela métodos para alterar los algoritmos de generación de mascotas. Han surgido dos métodos de redibujo, uno dirigido a valores de sal fijos y otro que explota las rutas de autenticación de usuarios. Estos métodos son temporales y pueden ser bloqueados por futuras actualizaciones del desarrollador, Anthropic. Ajustar el userID también podría interrumpir los informes de telemetría y las pruebas A/B, lo que podría generar problemas en la consistencia de la función.

AirdropBlackHole

2026-04-01 23:56:56

Generación de resúmenes en curso

Según el monitoreo de 1M AI News, solo unas horas después del lanzamiento de la nueva función de mascota/sistema de compañero de Claude Code, la comunidad de desarrolladores descubrió un método de re-dibujo a partir de un código fuente filtrado. Las herramientas y tutoriales de código abierto ya se han extendido por plataformas como Linux.do, V2EX y GitHub. Hay al menos dos métodos de re-dibujo disponibles. Uno se dirige a un valor de salt fijo en el algoritmo de generación de la mascota, que está codificado de forma rígida como una cadena de 15 caracteres en el producto compilado de Claude Code. Al reemplazarlo por una cadena de la misma longitud, se puede alterar la semilla aleatoria y el valor correspondiente para la mascota objetivo se puede encontrar mediante enumeración por fuerza bruta. El otro método explota diferencias en las rutas de autenticación: cuando los usuarios suscritos inician sesión de forma normal, el servidor emite un accountUuid como semilla de la mascota que no puede ser alterada. Sin embargo, cuando se autentica mediante variables de entorno, este valor no se escribe en la configuración local, lo que permite que el sistema vuelva al campo editable userID. El método de alterar el salt es el más débil, ya que se sobrescribirá en la siguiente actualización de Claude Code. Cambiar el userID también tiene caducidad para los usuarios suscritos, ya que Anthropic simplemente puede agregar lógica para escribir el accountUuid desde la ruta de variables de entorno para bloquearlo. Los usuarios de API (que se autentican usando su propia API Key) no tienen un accountUuid, lo que les permite modificar el userID directamente, brindando una ventana de oportunidad más larga, pero Anthropic también puede bloquear esto de manera similar generando un identificador estable mediante hashing de la API Key. Los datos del esqueleto no se almacenan localmente; se calculan en tiempo real en cada inicio, lo que significa que cualquier parche del lado del servidor puede surtir efecto de inmediato. Además, el userID no solo se usa para el sistema de mascotas. El código fuente filtrado indica que la generación de reportes de telemetría y los grupos de pruebas A/B también leen este valor, y modificarlo podría causar anomalías en funciones experimentales o fragmentación de datos.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.

1 me gusta