Pesquisadores em cibersegurança descobriram falhas graves em Claude Code, o assistente de programação impulsionado por Anthropic, que permitem desde a execução remota de comandos até o roubo de chaves de API. De acordo com a análise pública do Check Point, os problemas aproveitam mecanismos legítimos de configuração, como os "hooks", servidores do Model Context Protocol (MCP) e variáveis de ambiente, para executar comandos arbitrários e filtrar credenciais quando um desenvolvedor clona e abre um repositório malicioso. Você pode ler o relatório do Check Point aqui: Check Point Research e o estudo técnico estendido em seu site: RCE and API token exfiltration through Claude Code project files.
As vulnerabilidades sobressalem por como redefinem o perímetro de risco: já não se trata apenas de executar código malicioso em uma equipe, mas de que o ato de abrir um projeto pode bastar para comprometer credenciais e lançar comandos. Neste caso específico, as configurações incluídas nos ficheiros do próprio repositório — por exemplo .claude/settings.json ou .mcp.json — podiam mudar comportamentos do cliente e provocar chamadas salientes antes de o utilizador confirmar confiar no projecto. O resultado foi que chaves ativas de Anthropic podiam ser enviadas a servidores controlados por um atacante, ou que se podia forçar a inicialização de integrações externas sem consentimento.
Os erros foram classificados em várias categorias e alguns já têm identificadores públicos (CVE). Um problema sem CVE reportado, com uma gravidade alta (CVSS 8.7), permitia saltar mecanismos de consentimento ao iniciar Claude Code em uma nova pasta e ativar hooks definidos pelo projeto. Outro defeito atribuído como CVE-2025-59536 Também permitia injeção de código através da manipulação da configuração do MCP e da opção que habilita servidores MCP do projeto. Finalmente, CVE-2026-21852 Incidia na fuga de informação no fluxo de carga do projeto, possibilitando o envio de chaves a endpoints adversários antes de mostrar o aviso de confiança. As correcções foram publicadas em diferentes versões do cliente: por exemplo, a versão 1.0.87, 1.0.111 e o ramo 2.0.65 incluem adesivos para estas falhas.
Anthropic documenta como funcionam as integrações e os mecanismos de configuração; o guia de hooks e a seção de ajustes ajudam a compreender por onde a exploração foi colhida: Guia de hooks e a página de ajustes Settings, onde existe a opção que permitiu a escalada de privilégios (“ enableAllProjectMcpServers") Quando foi ativada por arquivos do repositório.
As implicações práticas são preocupantes. Um atacante que capture uma chave de API pode redirecionar o tráfego autenticado para infra-estruturas controlada por ele, consumir serviços em nome da vítima (gerindo custos inesperados), inserir ou apagar arquivos em projetos compartilhados ou simplesmente usar essa posição para se mover lateralmente dentro de ambientes na nuvem. Em suma, abre-se uma via de acesso a recursos que tradicionalmente se protegiam com barreiras diferentes às que operavam esses assistentes de desenvolvimento.
Diante de cenários assim, a resposta imediata é técnica e operacional. Por um lado, Anthropic libertou adesivos e é fundamental Actualizar o Claude Code às versões corrigidas que fecham estes vetores de ataque. Os avisos e correções aparecem nos repositórios de segurança: revisa os avisos oficiais no GitHub para confirmar a versão que você deve aplicar: Advisories. Por outro lado, as boas práticas de desenvolvimento voltam a assumir protagonismo: gerir credenciais com políticas de menor privilégio, rotar chaves comprometidas e evitar usar chaves permanentes em ambientes de trabalho sem isolamento são medidas que reduzem o impacto se ocorrer uma fuga.
Além de sistemas e rotatividade de segredos, convém repensar a forma como se confia em projetos de terceiros. Em ambientes profissionais, abrir um repositório desconhecido dentro do mesmo contexto onde correm ferramentas com capacidade de execução e rede deve exigir contentores ou máquinas virtuais isoladas, ambientes efêmeros para testes ou um processo de verificação que inspeccione os arquivos de configuração antes de permitir a inicialização. Também é recomendável desativar opções que activem servidores MCP automáticos ou execuções de hooks até ter validado sua origem.
Para além das recomendações imediatas, o caso de Claude Code sublinha uma transformação mais ampla na superfície de ataque: arquivos de configuração e camadas de automação passam a fazer parte do plano de execução. O que antes se perceberia como contexto operacional — como se orquestra uma ferramenta — agora pode determinar comportamentos que afetam a segurança do sistema. Consequentemente, a cadeia de fornecimento de software no mundo das ferramentas assistidas por IA não começa apenas com o código-fonte, mas com as peças que automatizam, integram e estendem esse código.
Para quem use assistentes de código impulsionados por IA, a nota prática é clara: atualizar, auditar e isolar. Manter-se informado por fontes confiáveis ajuda a medir o risco; além da análise de Check Point, os avisos de segurança nos repositórios oficiais e a documentação de Anthropic são leituras obrigatórias para administradores e desenvolvedores interessados em proteger seus ambientes. Veja os relatórios e os avisos relacionados a estes incidentes nos links de referência: Check Point Research, o estudo técnico do Check Point ( Research) e as advisories de Anthropic no GitHub ( No CVE advisory, CVE-2025-59536, CVE-2026-21852).
Em última análise, a história serve como lembrete de que a adoção de ferramentas poderosas traz vantagens indiscutívels, mas também obriga a repensar a segurança de camadas que até agora eram consideradas inofensivas. Actualizar rapidamente e desenhar fluxos de trabalho que não exponham segredos ou permitam execuções automáticas em ambientes não isolados são passos imprescindíveis para aproveitar essas ferramentas sem transformá-las numa porta de entrada para atacantes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...