Pesquisadores em cibersegurança revelaram múltiplas vulnerabilidades no Claude Code, assistente de programação baseado em inteligência artificial da Anthropic.
As falhas poderiam permitir execução remota de código e roubo das credenciais da API.
Segundo relatório da Check Point Research, compartilhado com o The Hacker News, as vulnerabilidades exploram mecanismos de configuração, como Hooks, servidores do Model Context Protocol (MCP) e variáveis de ambiente.
Isso possibilita a execução de comandos shell arbitrários e a extração das chaves da API da Anthropic quando usuários clonam e abrem repositórios não confiáveis.
As falhas identificadas se dividem em três categorias principais:
1. Vulnerabilidade sem CVE (CVSS 8.7): injeção de código por meio de bypass do consentimento do usuário ao iniciar o Claude Code em um novo diretório.
Essa falha permite execução arbitrária de código sem confirmação adicional, explorando hooks de projeto não confiáveis definidos em .claude/settings.json.
Foi corrigida na versão 1.0.87, lançada em setembro de 2025.
2.
CVE-2025-59536
(CVSS 8.7): vulnerabilidade de injeção de código que permite executar comandos shell arbitrários automaticamente na inicialização da ferramenta, caso o usuário abra o Claude Code em um diretório não confiável.
Corrigida na versão 1.0.111, lançada em outubro de 2025.
3.
CVE-2026-21852
(CVSS 5.3): vulnerabilidade de divulgação de informações no fluxo de carregamento de projetos, permitindo que repositórios maliciosos extraiam dados, incluindo as chaves da API da Anthropic.
Corrigida na versão 2.0.65, em janeiro de 2026.
De acordo com a Anthropic, no caso da
CVE-2026-21852
, se o usuário abrir o Claude Code em um repositório controlado por um atacante, contendo um arquivo de configuração que defina a variável ANTHROPIC_BASE_URL apontando para um endpoint malicioso, o Claude Code fará requisições à API antes mesmo de exibir o alerta de confiança.
Isso pode expor as chaves da API do usuário.
Ou seja: basta abrir um repositório manipulado para que a chave ativa do desenvolvedor seja extraída, dando ao invasor acesso à infraestrutura do usuário.
Esse acesso pode incluir arquivos do projeto, modificação ou exclusão de dados na nuvem, envio de conteúdo malicioso e até gerar custos inesperados via API.
A exploração bem-sucedida da primeira vulnerabilidade pode levar à execução silenciosa de código na máquina do desenvolvedor, sem qualquer interação além da abertura do projeto.
No caso da
CVE-2025-59536
, configurações definidas em arquivos .mcp.json e .claude/settings.json podem ser usadas para ultrapassar a aprovação explícita do usuário ao interagir com ferramentas e serviços externos via Model Context Protocol (MCP).
Isso ocorre ao ativar a opção "enableAllProjectMcpServers".
“Com a evolução das ferramentas baseadas em IA para executar comandos, integrar sistemas externos e se comunicar de forma autônoma, arquivos de configuração passam a fazer parte da camada de execução”, destaca a Check Point.
“O que antes era contexto operacional agora influencia diretamente o comportamento do sistema.”
Essa mudança redefine o modelo de ameaça: o risco ultrapassa a execução de código não confiável e passa a incluir a simples abertura de projetos inseguros.
Em ambientes de desenvolvimento conduzidos por IA, a cadeia de suprimentos envolve não apenas o código-fonte, mas também as camadas de automação que o cercam.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...