Pesquisadores da Check Point Research (CPR) identificaram vulnerabilidades no Claude Code, ferramenta de inteligência artificial da Anthropic voltada a programadores, que poderiam permitir o controle remoto de computadores e o roubo de chaves de API.
As falhas, registradas sob os códigos CVE-2025-59536 e CVE-2026-21852, exploravam arquivos de configuração maliciosos inseridos em pastas de projetos.
Bastava que o usuário abrisse a pasta para que comandos ocultos fossem executados automaticamente, sem necessidade de interação manual.
Leia mais:
- Cooperativas singular: entenda as diferenças e seu sistemas cooperativo
- OpenAI amplia meta de infraestrutura e projeta atingir 30 GW até 2030
- IA pode reduzir custos na indústria de games e liberar até US$ 22 bilhões, diz Morgan Stanley
- Certel utiliza inteligência artificial para antecipar impactos climáticos e reforçar operação
- Encontro entre OCB e Banco Central discute evolução do crédito cooperativo no Brasil
Segundo os pesquisadores, arquivos que normalmente servem apenas para organizar o ambiente de desenvolvimento eram manipulados para capturar dados sensíveis de forma silenciosa.
No Claude Code, esses arquivos podiam ser executados assim que o programa era iniciado, ignorando pedidos de autorização do usuário.
O ataque utilizava ferramentas de automação e o chamado Model Context Protocol (MCP) para redirecionar o tráfego da conta e interceptar credenciais antes mesmo que o desenvolvedor confirmasse confiança no projeto aberto.
O risco é ampliado em ambientes corporativos, onde chaves de API compartilhadas dão acesso a múltiplos serviços em nuvem.
O vazamento de uma única credencial poderia permitir alterações em arquivos, inserção de códigos maliciosos ou geração de custos indevidos na conta da empresa.
A Anthropic informou que as falhas foram corrigidas após colaboração com os pesquisadores. A empresa passou a bloquear a comunicação com a API até que o usuário autorize explicitamente o processo, além de reforçar avisos e camadas de segurança. As atualizações foram implementadas antes da divulgação pública das vulnerabilidades.
Newsletter Corporis Brasil
Cadastre-se e receba direto no seu e-mail as principais notícias sobre tecnologia, inovação e tendências digitais que estão transformando negócios e carreiras. Saiba mais sobre soluções inteligentes, novas ferramentas e avanços que impactam o mercado.
Foto: Freepik
