Falha crítica no Claude Code coloca em risco o PC sem que saiba

Um investigador de segurança descobriu uma falha grave no Claude Code. Permite aos atacantes executar comandos no PC, bastando abrir um link. A análise inicial revela que um hacker pode injetar instruções na linha de comandos. A Anthropic já lançou a versão 2.1.118, que corrige o problema. É urgente que seja feita a atualização.

Há uma falha crítica no Claude Code
Joern "Joernchen" Schneeweisz, engenheiro de segurança do GitLab, publicou a descoberta. De acordo com a análise técnica, o problema tem origem na forma como o Claude Code processa determinados parâmetros de configuração quando é iniciado. A ferramenta possui um mecanismo que lê as definições antes do programa terminar de iniciar.
O problema é que o Claude Code confia demasiado e procura estas definições em qualquer ponto do comando de arranque. Isto sem verificar se o que encontra é de facto uma instrução legítima ou um texto que faz parte de outro parâmetro. Esta falta de verificação abre caminho aos ataques. O Claude Code permite que projetos sejam abertos através de links especiais, que podem incluir texto para pré-carregar a prompt da ferramenta.
Joernchen sublinha que um atacante pode inserir instruções de configuração maliciosas neste texto, e o Claude Code interpreta-as como comandos legítimos sem questionar. Isto permite configurar a ferramenta para executar qualquer comando no seu computador assim que fizer login. O exemplo publicado pelo investigador como prova de conceito abriu a aplicação Calculator no macOS e gravou um ficheiro no disco contendo informação do sistema.
Coloca em risco a segurança do seu PC
Um dos aspetos mais perigosos desta falha envolve uma segunda vulnerabilidade relacionada. O Claude Code apresenta normalmente um aviso quando tenta abrir um projeto não reconhecido, dando-lhe a oportunidade de decidir se confia nele. No entanto, se o link malicioso incluir o nome de um projeto que já guardou e marcou como seguro no PC, este aviso desaparece por completo.
Um atacante que saiba que projetos foram descarregados pode criar um link especificamente concebido para contornar essa proteção. Depois pode distribuí-lo por qualquer canal e confiar que o sistema não irá exibir qualquer aviso. O problema fundamental é que o Claude Code não distinguia corretamente entre uma instrução real e um texto que apenas se assemelhava a uma.
Esta falha de projeto pode parecer insignificante noutro contexto, mas, combinada com a capacidade de executar comandos no seu sistema, as consequências são graves. A boa notícia é que a Anthropic corrigiu a vulnerabilidade na versão 2.1.118 do Claude Code. Quem utiliza esta ferramenta, pode verificar a sua versão executando o seguinte comando claude --version no terminal. Se o número for inferior a 2.1.118, deve atualizar para evitar ficar vulnerável.