claude-bug-bounty: cazar vulnerabilidades con Claude Code y 14 comandos

Publicado por Andrés Morales en

⏱️ Lectura: 12 min

Terminal con comandos de claude-bug-bounty ejecutándose en Claude Code
claude-bug-bounty integra recon, hunting, validación y reporting dentro de Claude Code.

El bug bounty moderno es una carrera de eficiencia. Quien logra mapear más rápido un objetivo, descartar hallazgos débiles antes de escribir el reporte y reutilizar lo aprendido en objetivos pasados es quien termina cobrando las recompensas. Durante años esa eficiencia dependía de orquestar a mano una decena de herramientas (subfinder, httpx, nuclei, Burp, plantillas de reporte) y una memoria propia que inevitablemente se dispersaba entre notas, carpetas y pestañas del navegador.

📑 En este artículo
  1. Introducción: qué enseña este material
  2. A quién está dirigido
  3. Estructura del material
  4. Secciones más valiosas
    1. 1. The Core 4 y el loop mínimo
    2. 2. How It Works y la memoria persistente
    3. 3. What It Can Find — las 20 + 10 clases
    4. 4. The Rules — la disciplina destilada
    5. 5. El changelog como mapa histórico
  5. Ruta de lectura recomendada
    1. Ruta A — Quiero probarlo este fin de semana
    2. Ruta B — Quiero entender la metodología antes de instalar nada
    3. Ruta C — Quiero enfocarme en web3 y smart contracts
  6. Limitaciones y qué queda fuera
  7. Conclusión
  8. Referencias
    1. 📚 Artículos relacionados

El repositorio shuvonsec/claude-bug-bounty ataca ese problema empaquetando todo el flujo dentro de Claude Code, el CLI de Anthropic para desarrollo asistido. Con 1,834 estrellas, 316 forks, licencia MIT y un último push del 20 de abril de 2026, el proyecto se autodescribe como AI-powered bug bounty hunting from your terminal: recon, 20 clases de vulnerabilidades, modo autónomo y generación de reportes, todo como plugin de Claude Code. Esta reseña recorre la estructura real del material, el perfil del lector ideal, las secciones más valiosas del README y una ruta sugerida para sacarle provecho sin perderse entre los 14 comandos.

Introducción: qué enseña este material

Aunque el proyecto se presenta como una herramienta, el README funciona en la práctica como un manual operativo de bug bounty asistido por IA. Enseña tres cosas interconectadas. La primera es una metodología: cómo descomponer un target en fases (reconocimiento, cacería, validación, reporte) y cuándo pasar de una a la siguiente. La segunda es la forma de delegar cada fase a un agente especializado de Claude Code: el recon-agent, el validator, el report-writer, entre otros. La tercera es una disciplina de trabajo destilada en siete reglas —desde Read full scope first hasta la famosa 5-minute rule— que buscan evitar los errores clásicos del cazador novato: probar fuera de alcance, reportar hallazgos débiles o quedarse atorado horas en una hipótesis que no avanza.

No es un libro teórico ni un curso de seguridad ofensiva desde cero. Asume que el lector sabe qué es un IDOR, un SSRF o un reentrancy en un contrato inteligente. Lo que aporta es el andamiaje operativo que convierte ese conocimiento en horas efectivas de cacería, delegando la parte mecánica (correr herramientas, formatear reportes, recordar qué probaste en el último target) a la IA.

A quién está dirigido

El propio README menciona tres perfiles, y leyendo la estructura del repo se ve que el contenido está calibrado para ellos con distintas intensidades.

  • Investigadores de seguridad con experiencia que quieren acelerar la parte repetitiva del trabajo. Para este perfil, los comandos de power/autopilot, /surface, /pickup, /chain— son el corazón del valor.
  • Cazadores de bug bounty en transición profesional, que ya están en plataformas como HackerOne, Bugcrowd, Intigriti o Immunefi, y quieren dejar de escribir reportes desde cero. La integración con report-writer y el 7-Question Gate del validator son el argumento principal.
  • Personas aprendiendo seguridad que buscan guía de IA en cada paso. Para ellos, la tabla de 20 clases web2 y 10 web3 funciona como un syllabus de lo que deberían dominar, con rangos de pago típicos como mapa de prioridades.

Si nunca abriste Burp Suite ni entendés qué significa subdomain takeover, este no es tu primer material: probablemente necesitás antes una base como The Web Application Hacker’s Handbook o los laboratorios de PortSwigger. Si ya reportaste tu primer bug y querés escalar, es justo el nivel adecuado.

Estructura del material

El README está organizado como una tabla de contenidos navegable con once bloques principales, más dos documentos satélite: FAQ.md y TERMS.md. En orden de aparición, los bloques son:

  1. What Is This? — explica qué es bug bounty y qué hace el plugin en lenguaje llano.
  2. The Problem / The Solution — contrasta el flujo manual contra el flujo con IA en una tabla before/after.
  3. Quick Start — instalación en dos scripts y el core loop de cuatro comandos.
  4. How It Works — diagrama ASCII con los tres agentes principales y la memoria persistente.
  5. Commands — el catálogo completo de 14 comandos, separado entre Core 4 y Power Commands.
  6. AI Agents — tabla con los 8 agentes especializados.
  7. What’s New — changelog desde v2.x hasta v4.1.0.
  8. What It Can Find — dos tablas desplegables con las 20 clases web2 y las 10 web3.
  9. Installation — prerequisitos por sistema operativo y llaves de API.
  10. The Rules — las siete reglas editoriales de cacería.
  11. Related Projects y Contributing — ecosistema del autor y guía de contribución.

En el árbol del repo, el contenido técnico vive en cuatro directorios clave: tools/ (scripts Python y Bash como hunt.py y recon_engine.sh), skills/ (skills de Claude Code agrupados por dominio, incluyendo bb-methodology/, security-arsenal/ y meme-coin-audit/), commands/ (los 14 slash commands) y agents/ (los 8 agentes). Esta separación es importante al leer: el README te da el qué y el porqué, pero el cómo exacto está en los archivos de cada skills/<dominio>/SKILL.md.

Secciones más valiosas

Si solo pudieras leer cuatro bloques del README, estos son los que rinden más por minuto invertido.

1. The Core 4 y el loop mínimo

La tabla de los cuatro comandos principales —/recon, /hunt, /validate, /report— es la columna vertebral del proyecto. No es solo una lista: es una afirmación metodológica. El autor sostiene que cualquier cacería seria se puede descomponer en esos cuatro pasos y que omitir el tercero (/validate) es la causa número uno de reportes rechazados. El 7-Question Gate del validador es, para muchos lectores, el cambio mental más grande que ofrece el material.

2. How It Works y la memoria persistente

El diagrama ASCII parece decorativo, pero introduce el concepto que diferencia a este plugin de un simple agregador de scripts: la Hunt Memory. Es una capa que registra qué endpoints testeaste, qué patrones funcionaron y qué falló en cada target, y la usa para informar el próximo. El changelog de v4.1.0 destaca que desde abril de 2026 esa memoria se llena automáticamente al final de cada sesión, resolviendo el problema histórico de que nadie corría /remember a mano.

3. What It Can Find — las 20 + 10 clases

Las dos tablas desplegables son el mejor catálogo condensado que vas a encontrar para entender el mercado actual del bug bounty. La tabla web2 va de IDOR ($500-$5K) hasta HTTP smuggling ($5K-$30K), y la web3 escala hasta $2M por flash loan o manipulación de oráculos. Leídas como syllabus, te dicen en qué técnicas conviene invertir tiempo de estudio según el perfil de recompensa.

4. The Rules — la disciplina destilada

Las siete reglas fijas valen su peso en oro para cualquier cazador en transición. Tres son especialmente útiles: la regla de alcance (never go out of scope), la regla de los cinco minutos (si no hay progreso, pasá al siguiente objetivo) y validate before report. Son el tipo de disciplina que normalmente solo se aprende a los golpes después de varios reportes duplicados o fuera de scope.

5. El changelog como mapa histórico

La sección What’s New funciona como una arqueología del proyecto. V2.1.0 agregó las últimas dos clases web2 (MFA bypass y SAML/SSO). V3.0.0 introdujo /autopilot y la memoria de caza. V3.1.0 añadió la methodology skill con rotaciones de 20 minutos por objetivo. V4.0.0 incorporó el módulo de auditoría de meme coins. Leerlo en orden te da el criterio para decidir qué comandos adoptar primero y cuáles son experimentales.

Diagrama de agentes especializados orquestando recon, hunt y reporting
El plugin delega cada fase a un agente: recon-agent, validator, report-writer, autopilot y más.

Ruta de lectura recomendada

El README no obliga a leerse en orden, pero hay tres rutas que tienen sentido según el objetivo.

Ruta A — Quiero probarlo este fin de semana

  1. Leer What Is This? y Quick Start.
  2. Saltar directo a Installation y ejecutar los dos scripts.
  3. Revisar The Core 4 y correr el loop sobre un programa público.
  4. Volver al README para The Rules antes de tu primer reporte real.

Comandos mínimos de instalación por sistema operativo:

# Windows (WSL2 o Git Bash recomendado)
winget install GoLang.Go
winget install Python.Python.3.12
winget install OpenJS.NodeJS.LTS
winget install jqlang.jq
git clone https://github.com/shuvonsec/claude-bug-bounty.git
cd claude-bug-bounty
bash install_tools.sh && bash install.sh

# macOS
brew install go python3 node jq
git clone https://github.com/shuvonsec/claude-bug-bounty.git
cd claude-bug-bounty
chmod +x install_tools.sh && ./install_tools.sh
chmod +x install.sh && ./install.sh

# Linux (Ubuntu/Debian)
sudo apt install golang python3 nodejs jq
git clone https://github.com/shuvonsec/claude-bug-bounty.git
cd claude-bug-bounty
chmod +x install_tools.sh && ./install_tools.sh
chmod +x install.sh && ./install.sh

Ruta B — Quiero entender la metodología antes de instalar nada

  1. Leer The Problem / The Solution.
  2. Leer How It Works y el diagrama de agentes.
  3. Leer Commands completo, prestando atención a la diferencia entre Core 4 y Power Commands.
  4. Leer The Rules y las tablas de 20+10 clases.

Esta ruta toma unos 40 minutos y te da una visión editorial clara de qué está haciendo el autor, sin tocar código. Es la ruta ideal si estás evaluando si adoptarlo en un equipo o en un bootcamp.

Ruta C — Quiero enfocarme en web3 y smart contracts

  1. Leer What Is This? y saltar la parte web2.
  2. Abrir el desplegable de 10 Web3 / Smart Contract Bug Classes.
  3. Ir al changelog de v4.0.0 para entender el módulo de meme coins.
  4. Revisar skills/meme-coin-audit/ en el repo y el comando /token-scan.
  5. Cruzar con el repo hermano web3-bug-bounty-hunting-ai-skills.

Un ejemplo del flujo resultante, una vez instalado, se ve así:

claude

# mapear superficie de ataque
/recon target.com

# elegir los endpoints de mayor valor según historial
/surface target.com

# probar vulnerabilidades
/hunt target.com

# filtrar hallazgos débiles antes de escribir
/validate

# generar reporte listo para HackerOne / Bugcrowd / Immunefi
/report

Limitaciones y qué queda fuera

La reseña quedaría incompleta sin decir qué no es este material. Son seis puntos honestos que conviene tener en mente.

  • No es una introducción a seguridad ofensiva. Las tablas de vulnerabilidades enumeran las clases pero no las enseñan desde cero. Para aprender QUÉ es un HTTP smuggling o un oracle manipulation hay que ir a otras fuentes.
  • Depende de Claude Code. El README aclara que se puede correr python3 tools/hunt.py o ./tools/recon_engine.sh directamente, pero el 80% del valor del proyecto —orquestación, agentes, memoria— está atado a la plataforma de Anthropic y su costo asociado.
  • No reemplaza el criterio humano. El propio changelog advierte que /autopilot tiene modos --paranoid, --normal y --yolo justamente porque dejar una IA probando sin supervisión puede generar tráfico fuera de scope o falsos positivos costosos.
  • No cubre móvil ni hardware. El alcance son aplicaciones web, APIs y smart contracts. Bug bounty en iOS, Android nativo, firmware o IoT queda fuera.
  • No garantiza recompensas. Los rangos de pago son referencias del mercado, no promesas. La mayoría de los programas rechaza reportes de calidad baja sin importar cuán sofisticada sea la herramienta que los generó.
  • Aspectos legales. El aviso final del README es explícito: For authorized security testing only. Probar fuera de un programa autorizado es ilegal en la mayoría de las jurisdicciones de LATAM y puede acarrear responsabilidad penal, incluso si la herramienta técnicamente permite hacerlo.

Otro matiz importante para lectores hispanohablantes: todo el material está en inglés, desde los nombres de los agentes hasta los prompts internos de los skills. No hay localización a español, y parte del valor depende de leer cómodamente documentación técnica en ese idioma.

Conclusión

claude-bug-bounty no es un silver bullet ni pretende serlo. Lo que ofrece es algo más valioso: una metodología explícita para hacer bug bounty de manera disciplinada, codificada en 14 comandos, 8 agentes y siete reglas, y ejecutable desde la misma terminal donde probablemente ya estás trabajando si usás Claude Code. El concepto de memoria persistente entre sesiones, la separación clara entre los Core 4 y los Power Commands, y la puerta del validador que mata hallazgos débiles antes de invertir media hora en escribirlos son aportes reales que cualquier cazador —novato o experimentado— puede adoptar incluso sin instalar el plugin, simplemente leyendo el README con atención.

Para lectores en LATAM que están entrando al bug bounty de forma profesional, este repo funciona como una ruta de autoestudio gratuita, respaldada por 1,834 estrellas y un ritmo de desarrollo activo (la versión 4.1.0 salió este mismo mes). La recomendación práctica: seguí la Ruta B para entender el diseño, leé las tablas de 20+10 clases como un mapa de lo que querés aprender, y adoptá al menos la regla de validar antes de reportar. Esa sola disciplina —sin instalar nada— ya justifica el tiempo de lectura.

Podés explorar el código, abrir issues o contribuir directamente desde el Repositorio oficial en GitHub, que está bajo licencia MIT y acepta PRs para nuevos escáneres, payloads y soporte de más plataformas.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.

Referencias

Categorías: ProgramaciónTutoriales

Andrés Morales

Desarrollador e investigador en inteligencia artificial. Escribe sobre modelos de lenguaje, frameworks, herramientas para devs y lanzamientos open source. Cubre papers de ML, ecosistema de startups tech y tendencias de programación.

0 Comentarios

Deja un comentario

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entradas relacionadas

Catálogo antigravity-awesome-skills con playbooks para agentes de IA
Programación

antigravity-awesome-skills: 1.431 playbooks para Claude Code y Cursor

Una guía curada al repositorio sickn33/antigravity-awesome-skills, una biblioteca instalable con más de 1.431 skills agénticas para Claude Code, Cursor, Codex CLI, Gemini CLI y Antigravity. Qué instalar primero, cómo elegir bundles y workflows, y picks recomendados para desarrolladores LATAM.

ai-marketing-skills: skills de Claude Code para growth, ventas y SEO
Programación

ai-marketing-skills: 15 skills open source para Claude Code

Single Brain liberó ai-marketing-skills, un repositorio con 15 skills de Claude Code que automatizan growth, ventas, SEO y finanzas. Revisamos cómo se instala, cómo se integra en un proyecto y cuándo conviene usarlo.

Diagrama de una API compatible con OpenAI conectando múltiples modelos LLM
Programación

El estándar OpenAI-compatible API: auditoría técnica del contrato de-facto que unificó la inferencia LLM (2020–2026)

Auditoría técnica del contrato de-facto que unificó la inferencia LLM (2020-2026). 16 implementaciones verificadas, divergencias sistemáticas identificadas, MVP para construir servidor propio. Primer artículo IMRyD v2.0 del blog.