Falhas de segurança classificadas como graves foram identificadas no Claude Code, ferramenta de assistência por IA voltada a desenvolvedores, permitindo a exposição de chaves de API e a execução remota de código em determinados cenários.
As vulnerabilidades poderiam ser exploradas a partir da simples abertura de um repositório malicioso, sem necessidade de interação avançada por parte da vítima.
De acordo com as informações divulgadas, os problemas exploram mecanismos internos da ferramenta, como variáveis de ambiente, configurações de inicialização e integrações com serviços externos.
Em alguns casos, o software poderia realizar chamadas automáticas a servidores controlados por invasores antes mesmo de o usuário conceder qualquer confirmação de segurança, abrindo espaço para interceptação de credenciais sensíveis.
Entre as falhas relatadas estão brechas que permitiam a execução automática de comandos no sistema e outras que possibilitavam o vazamento de informações confidenciais. Algumas receberam classificação elevada de severidade, indicando risco significativo para desenvolvedores que utilizavam versões afetadas do software.
A Anthropic, responsável pelo Claude Code, informou que as vulnerabilidades já foram corrigidas em atualizações posteriores. A empresa recomendou que todos os usuários mantenham a ferramenta na versão mais recente e reforçou a adoção de melhorias nos mecanismos de validação e confirmação antes da execução de comandos ou do envio de dados sensíveis.
