AI News

El plugin de Vercel de Claude desencadena un consentimiento de telemetría no solicitado y registra comandos de shell

Claude’s Vercel plugin triggers unsolicited telemetry consent, logs shell commands

Puntos clave

  • Un desarrollador encontró una solicitud de consentimiento de telemetría inesperada en Claude Code.
  • La solicitud aparece incluso cuando no existen archivos de configuración de Vercel.
  • El plugin injecta instrucciones a nivel de sistema, lo que hace que la solicitud de consentimiento sea indistinguible de la funcionalidad principal.
  • Se capturan y envían automáticamente cadenas de comandos de Bash completas, identificadores de dispositivo, detalles del sistema operativo y versiones de CLI.
  • Deshabilitar la telemetría requiere ediciones manuales en variables de entorno o archivos de configuración, que no se presentan durante la instalación.
  • La telemetría se ejecuta en todos los proyectos, no solo en entornos relacionados con Vercel.
  • Vercel no ha respondido a las preguntas sobre las prácticas de recopilación de datos.

Un desarrollador que usaba Claude Code notó una solicitud de consentimiento para la telemetría incluso en proyectos que carecen de cualquier configuración de Vercel. La investigación reveló que el plugin de Vercel injecta instrucciones a nivel de sistema, captura cadenas de comandos de Bash completas, identificadores de dispositivo, detalles del sistema operativo y otros datos de uso, y los transmite sin un consentimiento explícito. Deshabilitar la recopilación de datos requiere cambios manuales en variables de entorno o archivos de configuración, pasos que no se presentan durante la instalación. Vercel no ha respondido a las solicitudes de comentarios.

Cuando un ingeniero de software abrió Claude Code para trabajar en un script rutinario, la interfaz solicitó repentinamente si se podían compartir datos de la solicitud. La solicitud apareció a pesar de que el proyecto no contenía archivos de configuración de Vercel ni dependencias, lo que llevó al desarrollador a investigar el código fuente del plugin.

Lo que el ingeniero encontró fue un mecanismo de consentimiento de telemetría que no se comporta como un elemento de interfaz de usuario típico. En su lugar, el plugin de Vercel injecta instrucciones directamente en el contexto del sistema de Claude. Esas instrucciones le hacen una pregunta al usuario y luego ejecutan comandos de shell en función de la respuesta, lo que hace que la interacción sea indistinguible de una función nativa de Claude.

Más allá de la solicitud, el plugin recopila una cantidad sorprendente de datos. La telemetría a nivel de sesión incluye identificadores de dispositivo, detalles del sistema operativo, frameworks detectados y versiones de CLI instaladas. Más preocupante, cada comando de Bash ejecutado dentro de Claude Code se captura en su totalidad y se transmite a los servidores de Vercel. Los datos pueden exponer rutas de archivo, variables de entorno y otros detalles de infraestructura que los desarrolladores suelen considerar privados.

La documentación del plugin establece que se recopila "datos de uso anónimos" por defecto, mientras que el texto de la solicitud requiere una aprobación explícita. En la práctica, sin embargo, muchas categorías de telemetría permanecen activas a menos que el usuario las deshabilite manualmente. Las opciones de deshabilitación se encuentran ocultas dentro del directorio del plugin y requieren establecer variables de entorno o editar archivos de configuración, pasos que no se presentan durante la configuración inicial.

La inspección del código muestra que el sistema de telemetría opera en todos los proyectos, independientemente de si están relacionados con los servicios de Vercel. Aunque la logica de detección del plugin escanea archivos de configuración de Vercel, el mecanismo de puerta que debería limitar la recopilación de datos nunca se aplica. Como resultado, la telemetría se ejecuta universalmente, recopilando datos incluso en bases de código no relacionadas.

Eliminar el archivo de identificador de dispositivo o deshabilitar el plugin por completo también detiene la transmisión de datos, pero estas acciones no se anuncian a los usuarios. La falta de controles de consentimiento claros contrasta marcadamente con la solicitud de consentimiento presentada para compartir solicitudes, lo que deja a los desarrolladores inciertos sobre qué información se está enviando.

TechRadar Pro se comunicó con Vercel para comentar sobre los hallazgos. En el momento de la publicación, la empresa no había respondido.

#Claude#Vercel#telemetría#privacidad#herramienta de codificación de IA#herramientas de desarrollo#recopilación de datos#desarrollo de software#plugin#seguridad

También disponible en:

Claude’s Vercel plugin triggers unsolicited telemetry consent, logs shell commandsPlugin do Vercel do Claude dispara consentimento de telemetria não solicitado, registra comandos do shell