Anthropic lanzó Claude Tag el 23 de junio de 2026 como reemplazo directo de la antigua integración "Claude en Slack" (retirada el 3 de agosto de 2026) . No es un chatbot por usuario. En cambio, Claude Tag es un participante persistente y compartido dentro de un canal de Slack, con su propia identidad, memoria y acceso a herramientas. Cualquier miembro autorizado del canal puede etiquetar
@Claude para asignar tareas, y la IA trabaja de forma asíncrona y a la vista de todos .
Funciona en modo "ambiente", siguiendo conversaciones de forma continua, aprendiendo el contexto del canal y tomando la iniciativa para señalar actualizaciones o sacar a relucir tareas . Sus permisos están limitados al canal en el que reside, no a un usuario individual, lo que permite a los administradores configurar diferentes conjuntos de herramientas, acceso a datos y límites de gasto para cada canal
.
Detrás de escena, cada sesión de Claude Tag se ejecuta en el modelo Opus 4.8 dentro de una microVM Linux administrada por Anthropic, con las credenciales de los conectores fuera de la VM, acceso a la red a través de proxy y herramientas de solo lectura para el aislamiento . El uso del canal se factura a la organización a tarifas de API, no por asiento, lo que invierte los modelos tradicionales de precios del software empresarial
.
El hallazgo de Tego AI no existe de forma aislada. Se suma a otros dos incidentes importantes de mediados de 2026 que, en conjunto, revelan una crisis en la seguridad de los agentes de IA empresarial.
El 30 de junio de 2026, el investigador independiente "Thereallo" realizó ingeniería inversa a Claude Code y descubrió código JavaScript ofuscado que tomaba las huellas dactilares de la ubicación geográfica de los usuarios (mediante comprobaciones de zona horaria) y modificaba los mensajes del sistema usando caracteres Unicode similares — un apóstrofo curvo en lugar de uno recto, una barra inclinada en lugar de un guión — para crear una marca de rastreo sigilosa detectable por el backend de Anthropic . La Base de Datos Nacional de Vulnerabilidades de China (NVDB) emitió una alerta de seguridad formal de "puerta trasera" el 8 de julio, que cubría las versiones 2.1.91 a 2.1.196 de Claude Code
. Alibaba prohibió Claude Code internamente poco después
. Anthropic lo calificó como un "experimento contra el abuso" y lo eliminó el 1 de julio
.
El Protocolo de Contexto de Modelo (MCP), la infraestructura que sustenta a Claude Tag y muchos otros agentes de IA, ha mostrado tener fallos de diseño sistémicos. Hallazgos clave de 2026:
exec() o inyección de shell, y el 13% implican path traversal Las empresas que implementan Claude Tag y herramientas de IA agentiva similares se enfrentan a una triple amenaza: superficies de ataque de inyección de mensajes en la capa de activación del agente (hallazgo de Tego AI), rastreo opaco por parte del proveedor en las herramientas del agente (rastreador de Claude Code) y valores predeterminados de infraestructura fundamentalmente inseguros en el ecosistema MCP que conecta a los agentes con las herramientas y los datos.
Los fallos de identidad y control de acceso se agravan rápidamente cuando un agente persistente como Claude Tag tiene un amplio acceso a herramientas y puede ser activado por menciones suplantadas . La gobernanza tradicional de API es insuficiente para los flujos de trabajo agentivos porque los agentes no siguen modelos de permisos por usuario ni patrones de solicitud-respuesta
. El riesgo en la cadena de suministro es enorme: una vulnerabilidad en la implementación de referencia de MCP se propaga a todas las implementaciones posteriores
. La transparencia y la auditabilidad siguen siendo problemas críticos — el rastreador de Claude Code estaba ofuscado en JavaScript minificado y fue descubierto solo mediante ingeniería inversa externa, lo que significa que los equipos de seguridad empresarial no pueden confiar en la autodivulgación del proveedor
.
La escalada regulatoria ya está en marcha, con la NVDB de China emitiendo alertas a nivel estatal y empresas como Alibaba imponiendo prohibiciones absolutas . El panorama combinado indica que la seguridad de los agentes de IA empresarial en 2026 requiere un enfoque fundamentalmente nuevo, uno que trate a los agentes persistentes como infraestructura crítica con controles rigurosos de identidad, acceso y cadena de suministro.
@Claude incluso de fuentes automatizadas, lo que permite ataques de inyección de mensajes