Desenvolvedores que adotam IA no dia a dia ganharam um alerta vermelho. Pesquisadores da Check Point Research (CPR) descobriram duas vulnerabilidades críticas no Claude Code, ambiente de desenvolvimento assistido por IA da Anthropic, que permitiam execução remota de código e roubo transparente de chaves de API — tudo isso apenas ao clonar e abrir um repositório malicioso, sem rodar nenhum script.
O que aconteceu?
Catalogadas como CVE-2025-59536 e CVE-2026-21852, as falhas colocavam arquivos de configuração no papel de cavalo de Troia. Em vez de simples metadados, esses arquivos ganhavam superpoderes: acionavam hooks capazes de disparar comandos no seu sistema ou redirecionar o tráfego de API para servidores de atacantes.
Na prática, bastava o desenvolvedor abrir o projeto para:
- executar comandos arbitrários sem aviso;
- burlar diálogos de consentimento do Model Context Protocol (MCP);
- exfiltrar tokens de autenticação e chaves de API da Anthropic no primeiro segundo de uso.
Por que isso é grave?
A Anthropic oferece workspaces colaborativos em que diversas chaves de API compartilham recursos de nuvem. Uma única credencial vazada já possibilita que o invasor leia, modifique ou até delete dados do projeto, além de gerar custos inesperados consumindo a API.
Para equipes que usam IA como “par programador” — tendência que inclui GitHub Copilot, Google Gemini Code Assist e outros — o caso mostra que a superfície de ataque não está mais restrita ao código-fonte. Automação e arquivos de configuração viraram parte da infraestrutura e precisam do mesmo nível de vigilância aplicado a bibliotecas e dependências.
Dissecando as falhas
1) Execução silenciosa via hooks
O Claude Code automatiza tarefas de inicialização com hooks. A CPR demonstrou que um repositório mal-intencionado podia embutir comandos que rodavam assim que o ambiente era aberto — sem cliques adicionais.
2) Bypass no consentimento MCP (CVE-2025-59536)
O Model Context Protocol deveria exibir um pop-up de autorização antes de habilitar integrações externas. Ao manipular configurações, os atacantes antecipavam a execução dessas integrações, invertendo o modelo de confiança: quem mandava era o repositório, não o usuário.
Imagem: William R
3) Roubo de chaves de API (CVE-2026-21852)
Alterando rotas de rede no próprio arquivo de configuração, os pesquisadores redirecionaram chamadas da API da Anthropic — inclusive os cabeçalhos de autenticação — para um domínio controlado por eles, obtendo tokens válidos de imediato.
Impacto prático: o que muda para você?
Se a sua stack de desenvolvimento já inclui IA, considere as seguintes ações:
- Política “zero-trust” para repositórios externos. Abra projetos desconhecidos em sandboxes ou máquinas virtuais.
- Auditoria de arquivos de configuração (JSON, YAML, TOML etc.) com o mesmo rigor dedicado ao código.
- Rotacionar chaves de API periodicamente e restringir escopo e tempo de vida dos tokens.
- Monitorar gastos na nuvem: custos inesperados podem ser o primeiro sintoma de uso indevido.
Correções já aplicadas — mas lições ficam
A Check Point trabalhou em divulgação responsável com a Anthropic, que fortaleceu os diálogos de confiança, bloqueou execuções externas antes da aprovação e impediu qualquer tráfego de API até o usuário confirmar que o projeto é confiável. As duas CVEs foram solucionadas antes da publicação do relatório.
O episódio reflete uma mudança estrutural na cadeia de suprimentos de software: na era da IA, abrir um repositório não confiável pode ser tão arriscado quanto executar um binário desconhecido. Se sua equipe pretende continuar surfando o aumento de produtividade que ferramentas de IA oferecem, os modelos de segurança precisam evoluir na mesma velocidade.
Com informações de Hardware.com.br
