Pesquisadores da Check Point Research (CPR) identificaram vulnerabilidades no Claude Code, ferramenta de inteligência artificial da Anthropic voltada a programadores, que poderiam permitir o controle remoto de computadores e o roubo de chaves de API.
As falhas, registradas sob os códigos CVE-2025-59536 e CVE-2026-21852, exploravam arquivos de configuração maliciosos inseridos em pastas de projetos.
Bastava que o usuário abrisse a pasta para que comandos ocultos fossem executados automaticamente, sem necessidade de interação manual.
Leia mais:
- Claude e ChatGPT registram instabilidade na manhã desta segunda-feira (02)
- Pix por aproximação completa um ano com participação ainda reduzida
- Na semana do Dia Internacional das Mulheres, Tania Zanella integra lista das mais poderosas do Brasil
- Falha no Claude Code permitia controle remoto e roubo de credenciais
- IR 2026: entenda a diferença entre declaração completa e simplificada
Segundo os pesquisadores, arquivos que normalmente servem apenas para organizar o ambiente de desenvolvimento eram manipulados para capturar dados sensíveis de forma silenciosa.
No Claude Code, esses arquivos podiam ser executados assim que o programa era iniciado, ignorando pedidos de autorização do usuário.
O ataque utilizava ferramentas de automação e o chamado Model Context Protocol (MCP) para redirecionar o tráfego da conta e interceptar credenciais antes mesmo que o desenvolvedor confirmasse confiança no projeto aberto.
O risco é ampliado em ambientes corporativos, onde chaves de API compartilhadas dão acesso a múltiplos serviços em nuvem.
O vazamento de uma única credencial poderia permitir alterações em arquivos, inserção de códigos maliciosos ou geração de custos indevidos na conta da empresa.
A Anthropic informou que as falhas foram corrigidas após colaboração com os pesquisadores. A empresa passou a bloquear a comunicação com a API até que o usuário autorize explicitamente o processo, além de reforçar avisos e camadas de segurança. As atualizações foram implementadas antes da divulgação pública das vulnerabilidades.
Newsletter Corporis Brasil
Cadastre-se e receba direto no seu e-mail as principais notícias sobre tecnologia, inovação e tendências digitais que estão transformando negócios e carreiras. Saiba mais sobre soluções inteligentes, novas ferramentas e avanços que impactam o mercado.
Foto: Freepik
