- Check Point encontrou três vulnerabilidades no assistente de codificação Claude Code AI
- As falhas possibilitaram o roubo de chaves RCE e API
- Problemas explorados através de repositórios maliciosos; tudo antes de corrigir
Se você está pensando em integrar profundamente ferramentas de IA em seus fluxos de trabalho, tenha cuidado, pois alguns modelos populares de IA apresentam vulnerabilidades graves e podem transformar um assistente digital confiável em alguém com intenções maliciosas.
Os pesquisadores da Check Point (CPR) identificaram três vulnerabilidades no Code Claude que podem permitir a execução remota de código malicioso (RCE) ou o roubo de dados confidenciais, como credenciais de API, de vítimas inocentes.
Dois dos três bugs foram marcados: CVE-2025-59536 (8.7/10) e CVE-2026-21852 (5.3/10). A terceira, que ainda não recebeu um CVE, é uma vulnerabilidade de injeção de código.
Reavaliando suposições de segurança tradicionais
Claude Code é um assistente de codificação avançado com tecnologia de IA que permite aos desenvolvedores trabalhar com IA diretamente em seu ambiente de codificação (como seu terminal ou IDE). O assistente pode fazer todo tipo de coisa, inclusive fazer coisas em bases de código inteiras, com base em instruções de linguagem natural.
O CPR afirma que um invasor pode criar um repositório malicioso que inclua arquivos de configuração no nível do projeto e compartilhá-lo com um desenvolvedor (por exemplo, por meio de um e-mail de phishing ou uma atribuição de trabalho falsa).
Se o desenvolvedor clonar o repositório em sua máquina local e abrir o diretório do projeto no Claude Code, a ferramenta irá carregá-lo automaticamente, permitindo que um invasor abuse dos mecanismos integrados e inicie comandos shell ocultos. Como resultado, as solicitações de permissão do usuário são invalidadas e ferramentas e serviços externos são iniciados antes que o consentimento explícito seja dado.
Ele pode simplesmente fornecer a um invasor recursos de execução remota de código ou exfiltrar chaves de API Anthropic antes que o usuário confirme a confiança no projeto.
“As ferramentas de codificação baseadas em IA estão rapidamente se tornando parte dos fluxos de trabalho de desenvolvimento empresarial. Seus benefícios de produtividade são significativos, mas também o é a necessidade de repensar as suposições tradicionais de segurança”, disse CPR.
“Os arquivos de configuração não são mais configurações passivas. Eles podem afetar a execução, a rede e as permissões. À medida que a integração da IA se aprofunda, os controles de segurança devem evoluir para corresponder aos novos limites de confiança.”
Felizmente, o CPR afirma que todos os problemas foram resolvidos antes da divulgação.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
