Foram identificadas múltiplas vulnerabilidades no Claude Code, assistente de programação baseado em inteligência artificial da Anthropic, que podem permitir execução remota de código (RCE) e exfiltração de chaves de API.

As falhas foram detalhadas pela Check Point, que apontou problemas em mecanismos de configuração como Hooks, servidores MCP (Model Context Protocol) e variáveis de ambiente.

O cenário é preocupante: basta que o desenvolvedor clone e abra um repositório malicioso para que comandos arbitrários sejam executados e credenciais da API da Anthropic sejam expostas.

Abrir o projeto já pode ser suficiente para o ataque

Uma das vulnerabilidades (sem CVE, CVSS 8.7) permitia injeção de código por meio de um bypass no fluxo de consentimento do usuário ao iniciar o Claude Code em um diretório não confiável.

O problema estava relacionado a hooks definidos no arquivo .claude/settings.json e foi corrigido na versão 1.0.87 (setembro de 2025).

Já a CVE-2025-59536 (CVSS 8.7) possibilitava a execução automática de comandos shell durante a inicialização da ferramenta, caso o usuário abrisse o projeto em um diretório controlado por invasores. A falha foi corrigida na versão 1.0.111 (outubro de 2025).

Na prática, isso significa que:

• O código malicioso pode rodar sem interação adicional além da abertura do projeto;

• Configurações como .mcp.json e .claude/settings.json poderiam sobrescrever aprovações explícitas do usuário;

• A opção "enableAllProjectMcpServers": true permitia ativar integrações externas automaticamente.

Roubo de chave de API: risco direto à infraestrutura de IA

A terceira vulnerabilidade, CVE-2026-21852 (CVSS 5.3), envolvia divulgação indevida de informações no fluxo de carregamento do projeto.

Segundo comunicado da Anthropic, se um repositório malicioso definisse a variável ANTHROPIC_BASE_URL apontando para um endpoint controlado pelo hacker, o Claude Code poderia realizar requisições autenticadas antes de exibir o aviso de confiança, expondo a chave de API do desenvolvedor.

Isso permitiria:

• Redirecionar tráfego autenticado para infraestrutura externa;

• Capturar credenciais ativas;

• Acessar arquivos compartilhados de projetos;

• Modificar ou excluir dados armazenados em nuvem;

• Gerar custos inesperados com uso indevido de API.

A falha foi corrigida na versão 2.0.65 (janeiro de 2026).

Mudança no modelo de ameaça para ambientes com IA

O caso revela uma transformação importante no modelo de risco. Em ambientes tradicionais, o perigo está em executar código não confiável. Em ecossistemas baseados em IA, o risco começa antes: ao simplesmente abrir um projeto.

Arquivos de configuração passaram a fazer parte da camada de execução. Eles não apenas definem contexto operacional, mas influenciam diretamente o comportamento do sistema, incluindo execução de comandos, comunicação externa e integrações automáticas.

Isso amplia o risco de ataques na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento que utilizam assistentes de IA com permissões ampliadas.