Vulnerabilidades no CLAUDE CODE permitem execução remota de código e roubo de chaves de API, alerta Check Point Software.

Os pesquisadores da Check Point Research (CPR), a divisão de inteligência de ameaça da Check Point Software, identificaram vulnerabilidades críticas no Claude Code, uma ferramenta de desenvolvimento assistida por inteligência artificial da Anthropic. Essas falhas permitiam a execução remota de código e o roubo de chaves de API por meio de arquivos de configuração maliciosos integrados em repositórios de projetos.

As vulnerabilidades, catalogadas como CVE-2025-59536 e CVE-2026-21852, podiam ser ativadas apenas ao clonar e abrir um projeto não confiável, sem que o desenvolvedor precisasse executar código ou realizar ações adicionais. Essa descoberta evidencia uma mudança significativa no modelo de ameaças da cadeia de suprimentos de software, impulsionada pela crescente adoção de ferramentas de desenvolvimento baseadas em IA autônoma.

Segundo análises da equipe de pesquisa, a maneira de enxergar o risco na era da IA precisa evoluir. As ferramentas de desenvolvimento estão se transformando de utilitários periféricos em parte essencial da infraestrutura. Com a automação influenciando a execução e o comportamento dos ambientes, os limites de confiança se alteram. Organizações que aceleram a adoção de IA devem garantir que suas práticas de segurança acompanhem essa evolução.

Como um arquivo de configuração se tornou vetor de ataque

O Claude Code foi projetado para facilitar a colaboração, integrando arquivos de configuração diretamente aos repositórios e aplicando-os ao abrir o ambiente de desenvolvimento. No entanto, a Check Point Research verificou que esses arquivos, tradicionalmente considerados metadados inofensivos, poderiam servir como uma camada ativa de execução.

Em casos específicos, apenas abrir um repositório malicioso era suficiente para executar comandos ocultos no sistema do desenvolvedor, contornando mecanismos de consentimento e controles de confiança. Além disso, houve a possibilidade de exfiltrar chaves de API ativas da Anthropic, ampliando o impacto de um único endpoint para ambientes corporativos compartilhados, tudo sem sinalizar a ocorrência da intrusão.

Os riscos foram classificados em três categorias principais:

1. Execução silenciosa de comandos por meio de Hooks: O Claude Code inclui mecanismos de automação que podem realizar ações ao iniciar uma sessão. Os pesquisadores demonstraram que esses Hooks poderiam ser explorados para executar comandos arbitrários automaticamente ao abrir um projeto, sem interação do usuário.

2. Contorno do consentimento do usuário em integrações MCP: A ferramenta usa o Model Context Protocol (MCP) para iniciar integrações externas. Embora existam avisos de consentimento, configurações controladas pelo repositório permitiam a execução de ações antes da aprovação explícita do usuário. Esse comportamento inverte o modelo de controle, transferindo a autoridade do usuário para o repositório. Essa falha é identificada como CVE-2025-59536.

3. Roubo de chaves de API antes da confirmação de confiança: Manipulando as configurações do repositório, foi possível redirecionar o tráfego de API, incluindo cabeçalhos de autorização, para servidores controlados por atacantes antes da confirmação de confiança no projeto. Isso permitiu capturar chaves de API válidas desde o início, caracterizando a falha CVE-2026-21852.

A Anthropic oferece ambientes colaborativos onde múltiplas chaves de API têm acesso a recursos em nuvem. Com uma única chave comprometida, um cibercriminoso poderia acessar arquivos compartilhados, modificar ou excluir dados, inserir conteúdo malicioso e gerar custos não autorizados. Portanto, em ecossistemas de desenvolvimento colaborativo baseados em IA, a exposição de uma credencial pode causar impactos significativos rapidamente.

As descobertas da equipe da CPR ressaltam uma transformação estrutural no modelo de segurança de software. Arquivos de configuração deixam de ser apenas ajustes passivos e passam a influenciar diretamente a execução, comunicações e permissões em ambientes de desenvolvimento assistidos por IA. O risco agora envolve não apenas a execução de código não confiável, mas também a simples abertura de projetos não confiáveis. Na moderna cadeia de suprimentos impulsionada por IA, a superfície de ataque começa nas camadas de automação que cercam o código-fonte.

Para mitigar os riscos, os pesquisadores da Check Point Research colaboraram com a Anthropic durante todo o processo de divulgação responsável. Isso resultou em medidas corretivas que reforçaram os avisos de confiança ao usuário, impediram a execução de ferramentas externas sem aprovação explícita e bloquearam comunicações de API até que a confiança no projeto fosse confirmada. Todas as vulnerabilidades foram corrigidas antes da divulgação pública.

As ferramentas de codificação baseadas em IA estão rapidamente sendo integradas aos fluxos de desenvolvimento nas empresas. Seus ganhos de produtividade são notáveis, mas é fundamental reavaliar as premissas tradicionais de segurança. Em uma era em que arquivos de configuração podem executar ações e tomar decisões, a confiança não deve ser presumida. As defesas precisam evoluir para proteger não apenas o código, mas todo o ecossistema automatizado que o envolve.