Nas últimas semanas, um pesquisador de segurança conseguiu o que parecia improvável: encontrar falhas que permitem executar código remoto em dois dos editores de texto mais veteranos do ecossistema livre, e o fez aproveitando o apoio de um assistente de IA para analisar o código e gerar provas de conceito. O resultado não é uma vulnerabilidade teórica: no caso de Vim bastava abrir um arquivo manipulado para executar comandos com os privilégios do usuário, e na GNU Emacs documentou-se uma rota de abuso da integração com Git que também pode levar a execução de código quando trabalha em diretórios não confiáveis.
A descoberta em Vim foi descrita por Hung Nguyen, pesquisador da assinatura de segurança Calif, depois de indicar ao assistente Claude que procurasse uma falha de tipo RCE (remote code execution) no editor. O assistente repasou partes do código- fonte e apontou falhas na forma como o Vim processa as chamadas de modelo (modelines), essas instruções embebidas no texto que indicam como o editor deve comportar-se com um arquivo. A pesquisa encontrou verificações de segurança insuficientes e uma forma de contornar as restrições do suposto “sandbox”, de modo que um arquivo especialmente preparado poderia provocar a execução de comandos ao abrir. O impacto era claro: apenas abrir um arquivo malicioso um atacante podia executar comandos com as mesmas permissões que o usuário que executa o Vim. O problema foi reportado aos mantenedores e resolvido rapidamente; o adesivo está incluído na versão 9.2.0272 de Vim, e o aviso oficial pode ser consultado no boletim de segurança do repositório de Vim no GitHub ( Aviso de Segurança do Vim) assim como na entrada do próprio pesquisador ( análise publicada por Calif).
O caso da GNU Emacs é diferente na mecânica, mas igualmente preocupante da perspectiva do usuário. Nguyen mostrou como a integração de Emacs com sistemas de controle de versões (o módulo vc-git) ativa operações de Git ao abrir arquivos, o que leva a que o Git possa ler uma configuração local como .git/config e executar a ferramenta definida na opção core.fsmonitor. Essa localização permite que um ficheiro dentro de um pacote ou pasta com um .git/ esconde desencadeie a execução de um programa quando o utilizador descomprime e abre o texto em Emacs. Na prática, basta entregar um ficheiro ou um pacote que inclua um .git/config manipulado para que o fluxo por omissão de Emacs execute código sem sinais evidentes de aviso. Os mantenedores de Emacs assinalaram que a ação perigosa a realiza Git, pelo que consideram que a correção corresponde a Git, mas a observação do pesquisador é que Emacs ativa Git automaticamente sem neutralizar opções perigosas ou pedir consentimento, deixando expostos aos usuários que abram arquivos em diretórios não confiáveis. O relatório técnico com detalhes e testes de conceito está disponível no repositório público da equipe ( Documento sobre Emacs), e a opção de configuração do Git implicada pode ser lida na documentação oficial do Git ( core.fsmonitor em git- config).
Além do detalhe técnico, este episódio serve como exemplo de como as ferramentas de IA começam a transformar o trabalho de pesquisa em segurança: o assistente Claude não só localizou comportamentos riscos no código, mas ajudou a iterar e a carregar testes de conceito até gerar exploits reprodutíveis. Esse fluxo acelerou a identificação do problema e permitiu uma comunicação mais rápida com os mantenedores, mas também enfatiza uma dupla tensão: a mesma capacidade para automatizar análise e gerar código é útil para defensores e atacantes.
Para usuários e administradores há recomendações práticas imediatas. No caso de Vim, a actualização da versão alterada (9.2.0272) é a medida mais direta e recomendada; o rótulo da release pode ser consultado no repositório de Vim no GitHub ( lançamento com o adesivo). Com a GNU Emacs, como a correção não foi aplicada pelos desenvolvedores de Emacs e o vetor depende do Git, convém adotar precauções: evitar abrir arquivos de fontes não verificadas sem inspecioná-los primeiro, descomprimir arquivos em ambientes isolados, e configurar ou desactivar a verificação automática de estado de versões se trabalha com conteúdo externo. Para aqueles que usam Emacs e desejam limitar a interação automática com o controle de versões, a documentação do editor sobre controle de versões é um ponto de partida para ajustar o comportamento ( Manual do Emacs: Controlo de versões). Como medida adicional, executar editores com privilégios mínimos ou em contentores/sandbox reduz o impacto deste tipo de falhas.
Para além dos adesivos e mitigações, a anedota levanta uma questão maior sobre o design de ferramentas que atuam automaticamente sobre conteúdos potencialmente hostis: os editores devem assumir que qualquer diretório é de confiança e delegar a mitigação em outras camadas (como Git), ou devem neutralizar em primeira instância opções potencialmente perigosas? O próprio pesquisador propôs que Emacs poderia filtrar ou anular chamadas a Git que permitam executar core.fsmonitor para que não se invoquem scripts controlados por um atacante, uma solução prática que reduz o risco, embora não substitua a uma correção em Git.
Em suma, a combinação de uma investigação humana com aceleração por IA ajudou a descobrir e reparar uma falha séria em Vim e a evidenciar um caminho de abuso em Emacs que segue sem uma correção unânime. A lição para qualquer profissional é manter os editores atualizados, ser prudente com arquivos recebidos de fontes desconhecidas, e considerar restrições adicionais (sandboxing, privilégios limitados e revisão prévia) quando trabalha com conteúdo baixado. Para aqueles que querem aprofundar as análises originais, a pesquisa de Calif e os avisos nos repositórios relevantes estão disponíveis nas fontes citadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...