Falhas críticas no Claude Code permitiam execução de código e roubo de chaves API

João Fernandes Por
Fev. 26, 2026
Falhas críticas no Claude Code permitiam execução de código e roubo de chaves API
Segurança e Redes

A equipa da Check Point Research identificou vulnerabilidades críticas no Claude Code, a ferramenta de desenvolvimento assistido por Inteligência Artificial da Anthropic. As falhas, catalogadas como CVE-2025-59536 e CVE-2026-21852, permitiam a execução remota de código e a exposição de chaves API através de ficheiros de configuração maliciosos.

Esta descoberta altera o paradigma de segurança no desenvolvimento de software, demonstrando que a simples ação de clonar e abrir um repositório não verificado pode transformar-se num vetor de ataque imediato, sem que o programador tenha de executar qualquer ficheiro manualmente.

A investigação revelou que os mecanismos de automação do Claude Code podiam ser abusados para executar comandos silenciosos no endpoint do utilizador. Em cenários específicos, um atacante conseguiria contornar os pedidos de consentimento e redirecionar o tráfego autenticado para servidores externos, permitindo o roubo de chaves API ativas antes mesmo de o utilizador confirmar a sua confiança no projeto. Estas vulnerabilidades evidenciam que, na era da IA, os ficheiros de configuração deixaram de ser metadados passivos para se tornarem elementos ativos na camada de execução, exigindo uma vigilância redobrada sobre a proveniência dos projetos.

Três vetores de risco principais foram detalhados: a execução automática de ações no arranque de uma sessão, o bypass dos controlos do Model Context Protocol (MCP) e o redirecionamento de tráfego autenticado. O impacto destas falhas em ambientes empresariais poderia ser devastador, permitindo que o comprometimento de um único posto de trabalho escalasse para um risco organizacional alargado, especialmente em infraestruturas de workspace na cloud partilhadas. Segundo Oded Vanunu, da Check Point, esta investigação prova que as ferramentas de IA deixaram de ser meros assistentes para se tornarem componentes estruturais que exigem uma evolução no modelo de segurança.

A Check Point Research colaborou diretamente com a Anthropic num processo de divulgação responsável, garantindo que todas as falhas fossem corrigidas antes da sua publicação. As medidas de mitigação incluíram o reforço dos mecanismos de confirmação de confiança e o bloqueio de comunicações API até à validação explícita do projeto pelo utilizador. Para o futuro, a recomendação para as empresas é clara: é necessário adotar políticas de Zero Trust nas camadas de automação e tratar os ficheiros de configuração de projetos de IA com o mesmo nível de cautela dedicado ao código executável tradicional.

Classifique este item
(0 votos)
Ler 73 vezes
Tagged em
Mais nesta categoria: « ESET defende verificação de identidade nas redes sociais em vez Nova burla de phishing imita MEO com falso reembolso de fatura »

Itens relacionados

Top