- Las solicitudes de consentimiento aparecen incluso en proyectos sin configuración de Vercel
- El complemento proporciona solicitudes de consentimiento mediante la inyección de directivas a nivel de sistema.
- Los comandos Bash se capturan completamente con detalles sensibles del entorno.
Un desarrollador que probó el complemento Vercell dentro de Cloud Code descubrió que apareció inesperadamente una solicitud de consentimiento de telemetría durante una tarea no relacionada.
No hay archivos de configuración de Vercell ni dependencias en el proyecto, pero el sistema aún pregunta si se pueden compartir los datos del mensaje.
La solicitud indica que ya se están recopilando “datos de uso anónimos”, seguido de la opción de incluir un texto emergente.
El artículo continúa a continuación.
En lugar de aparecer como un elemento de interfaz estándar, la solicitud de consentimiento se entregó mediante instrucciones inyectadas en el contexto del sistema de Claude.
Estas instrucciones indican a la herramienta de inteligencia artificial que haga una pregunta al usuario y luego ejecute comandos de shell según la respuesta.
El resultado fue indistinguible de una interacción nativa, sin indicación visible de que el mensaje se originó en un complemento y no en el sistema central.
El desarrollador describió la experiencia claramente, diciendo que “se sintió mal” y procedió a revisar el código fuente del complemento para verificar cómo funcionaba el proceso.
La inspección del código fuente muestra que la telemetría funciona en múltiples niveles, con cierta recopilación de datos habilitada de forma predeterminada.
Los datos a nivel de sesión incluyen identificadores de dispositivos, detalles del sistema operativo, marcos detectados y versiones CLI instaladas, que se transmiten al inicio de cada sesión. Esto sucede sin un proceso de suscripción explícito.
Más notablemente, las cadenas de comandos bash ejecutadas dentro de Cloud Code también se capturan y transmiten.
Estas entradas incluyen contenido de comando completo en lugar de metadatos abstractos, posibles rutas de archivo, variables de entorno y detalles de infraestructura.
Esta recopilación se produce automáticamente, sin el consentimiento del usuario para compartirla inmediatamente.
Como se describe en esta actividad, “datos de uso anónimos, como patrones de inyección de habilidades y herramientas utilizadas”, no reflejan completamente la granularidad de la información recopilada.
Aunque el texto del mensaje requiere autorización explícita, otras secciones de telemetría están habilitadas a menos que se deshabiliten manualmente.
El sistema de telemetría del complemento no se limita a entornos relacionados con Vercel, ya que las configuraciones de gancho muestran que los envíos de mensajes del usuario coinciden universalmente, mientras que otros activadores responden al uso general de herramientas o eventos de sesión en lugar de condiciones específicas del proyecto.
Como resultado, la telemetría funciona en todos los proyectos dentro de Cloud Code, independientemente de la relevancia de los servicios de Vercell.
Este comportamiento contrasta con la lógica de detección del marco existente dentro del complemento.
El código detecta el tipo de proyecto escaneando archivos de configuración y dependencias, pero esta información no se utiliza para limitar la activación de telemetría. Existen mecanismos de activación, pero no se implementan en la práctica.
Deshabilitar la telemetría requiere intervención manual a través de variables de entorno o archivos de configuración.
Pero estas opciones están documentadas en el directorio de complementos en lugar de aparecer durante la instalación, lo que dificulta el acceso a ellas.
Eliminar el archivo de identificación del dispositivo o desactivar el complemento por completo evita la recopilación de datos, aunque estos pasos no se presentan durante la configuración inicial.
En pocas palabras, el sistema combina la recopilación de datos automatizada con una visibilidad limitada de cuándo y cómo funciona.
No coincide con lo que los usuarios esperan cuando trabajan fuera de un entorno de plataforma sin código o cuando utilizan un LLM para codificar.
TechRadar Pro contactó a Vercel para hacer comentarios, pero no había recibido respuesta al momento de la publicación.
a través de Akshay Chug
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
