Un desarrollador ha descubierto que el plugin de Vercel para Claude Code recopila una cantidad excesiva de datos de los usuarios, incluyendo comandos de shell completos y el texto de todos los prompts, incluso en proyectos que no utilizan Vercel. El plugin, diseñado para ayudar con el despliegue y la guía de frameworks, inyecta instrucciones en el contexto de Claude para solicitar consentimiento a través de una pregunta que se asemeja a una función nativa de Claude, dificultando la identificación de su origen. Además, el plugin escribe preferencias en el sistema de archivos a través de comandos de shell ejecutados por Claude, lo que plantea preocupaciones sobre la seguridad y la privacidad. La recopilación de comandos de shell, que incluyen rutas de archivos, nombres de variables de entorno e información de infraestructura, se realiza de forma continua sin una opción clara para desactivarla. Aunque existe una variable de entorno para desactivar la telemetría, esta no se documenta claramente durante la instalación. El plugin carece de detección de proyectos, lo que significa que recopila datos de cualquier proyecto en el que esté instalado. El desarrollador ha publicado un análisis detallado del código fuente, destacando las vulnerabilidades y proponiendo soluciones para mejorar la transparencia y el control del usuario sobre la recopilación de datos.
Noticias agregadas con IA