Falhas críticas no Claude Code permitem execução remota de código e roubo de chaves de API, revelam pesquisadores da Check Point Software
Vulnerabilidades recentemente descobertas no Claude Code, ferramenta de desenvolvimento assistido por IA da Anthropic, expuseram empresas a riscos significativos de execução remota de código (RCE) e roubo de chaves de API. O ponto mais preocupante: o simples ato de clonar e abrir um repositório de projeto malicioso já era suficiente para acionar o ataque, sem que o desenvolvedor precisasse rodar manualmente qualquer script ou comando.
Segundo a equipe da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, as falhas estavam relacionadas ao modo como o Claude Code lidava com arquivos de configuração incluídos nos repositórios. Elementos tradicionalmente tratados como metadados inofensivos passaram a atuar, na prática, como uma camada ativa de execução dentro do ambiente de desenvolvimento.
As vulnerabilidades foram catalogadas como CVE-2025-59536 e CVE-2026-21852. Ambas podiam ser exploradas assim que o projeto era aberto no Claude Code, em especial quando o repositório continha arquivos de configuração especialmente preparados para abusar da automação da ferramenta. Isso dispensava qualquer intervenção adicional do programador, alterando de forma profunda o modelo de ameaça em ambientes de desenvolvimento que utilizam IA de forma intensiva.
De acordo com a CPR, esse cenário representa uma mudança estrutural na forma como o risco deve ser avaliado na era da inteligência artificial. Ferramentas de desenvolvimento apoiadas por IA deixam de ocupar o papel de simples auxiliares periféricos e passam a integrar a infraestrutura central de criação de software. Quando camadas de automação têm permissão para aplicar configurações, interagir com o sistema de arquivos e comunicar-se com serviços externos, elas passam também a redefinir a fronteira de confiança dentro do ambiente de desenvolvimento.
Oded Vanunu, gerente de Pesquisa de Vulnerabilidades de Produto da Check Point Software, destaca que esse tipo de incidente exige uma revisão profunda dos modelos de segurança: ao integrar IA de forma acelerada, organizações precisam garantir que controles, políticas e monitoramento de segurança acompanhem essa evolução no mesmo ritmo. Caso contrário, o ganho de produtividade trazido por ferramentas inteligentes pode abrir portas silenciosas para invasores.
O design do Claude Code buscava exatamente aumentar a colaboração e a automação: arquivos de configuração do projeto eram incorporados diretamente ao repositório e aplicados automaticamente quando o ambiente de desenvolvimento era iniciado. Na teoria, isso simplifica o onboarding de novos desenvolvedores, padroniza configurações e reduz erros humanos. Na prática, porém, a CPR demonstrou que essa mesma conveniência poderia ser explorada como vetor de ataque.
Em cenários específicos, bastava que o desenvolvedor abrisse um repositório malicioso no Claude Code para que comandos ocultos fossem executados na máquina local. Isso permitia contornar mecanismos de consentimento, burlar verificações de confiança integradas, exfiltrar chaves de API ativas da Anthropic armazenadas no ambiente e até propagar o impacto da invasão para espaços de trabalho corporativos compartilhados. Tudo isso sem qualquer indicativo visível de que algo anormal havia ocorrido.
A CPR agrupou os riscos identificados em três eixos principais: execução remota de código, comprometimento de credenciais e ampliação do impacto para ambientes colaborativos. A execução remota permitia que um atacante, por meio do arquivo de configuração, disparasse ações diretas no sistema do desenvolvedor. O comprometimento de chaves de API, por sua vez, abria caminho para uso indevido de recursos em nuvem, consulta a dados sensíveis e introdução de conteúdo malicioso em fluxos de trabalho dependentes da IA.
O risco era ampliado pelo modelo colaborativo oferecido pela Anthropic, em que múltiplas chaves de API podem compartilhar acesso aos mesmos recursos e projetos em nuvem. Com a captura de uma única credencial, um agente mal-intencionado poderia acessar arquivos de projeto compartilhados, modificar ou apagar dados, injetar instruções maliciosas em repositórios e, ainda, gerar custos elevados por uso não autorizado da API. Em ambientes modernos de desenvolvimento, onde equipes distribuem tarefas e automatizações em escala, uma simples chave exposta deixa de ser um incidente isolado e rapidamente ganha dimensão organizacional.
As conclusões da CPR apontam para uma transformação no papel dos arquivos de configuração dentro da cadeia de suprimentos de software. Eles não são mais apenas ajustes neutros de ambiente, como diretivas de compilação ou preferências de editor. Em plataformas orientadas por IA, esses arquivos podem determinar como a ferramenta interage com o sistema, quais comandos são executados automaticamente, com quais serviços externos a solução se comunica e quais permissões são ativadas durante o processo. O risco, portanto, passa a estar não apenas na execução de código não confiável, mas no simples ato de abrir um projeto oriundo de fonte desconhecida.
Durante o processo de divulgação responsável, a equipe da Check Point Research trabalhou em conjunto com a Anthropic para fechar as brechas identificadas. Entre as medidas adotadas, foram reforçados os avisos de confiança ao usuário, ajustados os mecanismos de aplicação automática de configurações e introduzidas barreiras adicionais contra a execução silenciosa de ações sensíveis. A ideia central foi limitar o quanto um arquivo de configuração pode fazer sem a participação explícita do desenvolvedor, reduzindo o potencial de abuso em repositórios maliciosos.
Esse caso evidencia uma lição importante para todo o ecossistema de desenvolvimento: qualquer camada automatizada que “interprete” arquivos, parâmetros ou metadados e transforme isso em ações no sistema deve ser tratada como superfície de ataque. À medida que assistentes de código e agentes autônomos passam a tomar decisões e executar comandos em nome do usuário, a fronteira entre código e configuração fica cada vez mais tênue – e, como consequência, mais crítica do ponto de vista de segurança.
Para as empresas que já utilizam ou planejam adotar ferramentas como o Claude Code, torna-se essencial revisar as políticas de manipulação de repositórios externos. Projetos provenientes de fontes desconhecidas ou pouco confiáveis não devem ser abertos diretamente em ambientes conectados a recursos sensíveis, como chaves de API ativas, segredos de produção ou infraestruturas corporativas em nuvem. Ambientes de sandbox, contas de teste e segmentação de redes passam a ser componentes obrigatórios da estratégia.
Outra medida importante é a implementação de controles rigorosos de gestão de chaves de API. Isso inclui rotacionar credenciais com frequência, utilizar escopos de permissão mínimos, limitar o uso a ambientes específicos, monitorar padrões de consumo e aplicar sistemas de detecção de anomalias de uso. Assim, mesmo que uma chave seja exfiltrada, o impacto tende a ser mais restrito e rapidamente detectável.
Equipes de desenvolvimento também precisam ser treinadas para enxergar arquivos de configuração com o mesmo grau de desconfiança dedicado a scripts e binários. Antes de aceitar configurações automáticas sugeridas por ferramentas de IA, é recomendável revisar o conteúdo, entender quais ações serão executadas e avaliar se o nível de permissão solicitado é realmente necessário. Em contextos mais sensíveis, pode ser adequado adotar políticas que exijam revisão por pares antes da aplicação de determinadas configurações.
Do ponto de vista de governança, organizações deveriam revisar seu modelo de segurança de desenvolvimento seguro (DevSecOps) à luz da presença de IA no pipeline. Ferramentas de verificação estática, análise de dependências e validação de infraestrutura como código precisam ser estendidas ou adaptadas para inspecionar, também, artefatos gerados ou interpretados por assistentes de IA. O objetivo é garantir que tanto o código quanto a “lógica de automação” em torno dele estejam submetidos a controles equivalentes.
Por fim, o caso do Claude Code funciona como um alerta de que a evolução da IA no desenvolvimento de software traz ganhos reais de eficiência, mas também inaugura um novo conjunto de riscos. A automatização não pode ser tratada como uma caixa-preta confiável por padrão. Desenvolvedores, gestores de TI e equipes de segurança precisarão trabalhar de forma integrada para estabelecer novas práticas, limites claros de confiança e mecanismos de monitoramento contínuo, garantindo que a inovação impulsionada pela IA não se converta em um novo ponto cego de segurança corporativa.