Múltiplas vulnerabilidades críticas foram identificadas no Claude Code, assistente de programação com IA da Anthropic. As falhas podem permitir execução remota de código (RCE) e exfiltração de chaves de API, colocando em risco ambientes de desenvolvimento e infraestruturas baseadas em inteligência artificial.
As vulnerabilidades foram detalhadas pela Check Point, que apontou problemas nos mecanismos de configuração da ferramenta, incluindo Hooks, servidores MCP (Model Context Protocol) e variáveis de ambiente.
O cenário é preocupante: em alguns casos, apenas clonar e abrir um repositório malicioso já seria suficiente para disparar o ataque.
Abrir o projeto já pode ser suficiente para o ataque
Uma das falhas (sem CVE, CVSS 8.7) permitia injeção de código por meio de bypass no fluxo de consentimento ao iniciar o Claude Code em um diretório não confiável.
O problema estava relacionado a hooks definidos no arquivo .claude/settings.json e foi corrigido na versão 1.0.87 (setembro de 2025).
Outra vulnerabilidade, CVE-2025-59536 (CVSS 8.7), possibilitava a execução automática de comandos shell durante a inicialização da ferramenta caso o usuário abrisse um projeto hospedado em diretório controlado por invasores. A correção veio na versão 1.0.111 (outubro de 2025).
Na prática, isso significa:
- Código malicioso poderia ser executado sem interação adicional além da abertura do projeto;
- Arquivos como
.mcp.jsone.claude/settings.jsonpoderiam sobrescrever aprovações explícitas do usuário; - A opção
"enableAllProjectMcpServers": truepermitiria ativar integrações externas automaticamente.
Esse comportamento amplia significativamente o risco de ataques na cadeia de suprimentos de software.
Roubo de chave de API: risco direto à infraestrutura de IA
A terceira vulnerabilidade, CVE-2026-21852 (CVSS 5.3), envolvia divulgação indevida de informações no fluxo de carregamento do projeto.
Segundo comunicado da própria Anthropic, se um repositório malicioso definisse a variável ANTHROPIC_BASE_URL apontando para um endpoint controlado por um invasor, o Claude Code poderia realizar requisições autenticadas antes do aviso de confiança, expondo a chave de API do desenvolvedor.
Isso permitiria:
- Redirecionar tráfego autenticado para infraestrutura externa;
- Capturar credenciais ativas;
- Acessar arquivos compartilhados de projetos;
- Modificar ou excluir dados em nuvem;
- Gerar custos inesperados com uso indevido da API.
A falha foi corrigida na versão 2.0.65 (janeiro de 2026).
Mudança no modelo de ameaça em ambientes com IA
O caso evidencia uma transformação relevante no modelo de risco. Em ambientes tradicionais, o perigo costuma surgir ao executar código não confiável. Já em ecossistemas com assistentes de IA integrados ao fluxo de desenvolvimento, o risco pode começar antes mesmo da execução, no simples ato de abrir um projeto.
Arquivos de configuração passaram a integrar a superfície de ataque. Eles não apenas definem contexto operacional, mas influenciam diretamente:
- Execução de comandos;
- Comunicação externa;
- Integrações automáticas;
- Acesso a credenciais sensíveis.
Isso amplia o impacto potencial de ataques na cadeia de suprimentos, especialmente em times que utilizam assistentes de IA com permissões elevadas e acesso direto a APIs críticas.
Conclusão
As vulnerabilidades no Claude Code reforçam um alerta importante: ferramentas de IA integradas ao desenvolvimento exigem o mesmo rigor de segurança aplicado a runtimes e ambientes de produção.
Revisão de permissões, validação de repositórios, restrição de variáveis sensíveis e atualização constante das ferramentas tornam-se medidas essenciais para reduzir a exposição a ataques sofisticados.
