Um pesquisador de segurança identificado como Joern Schneeweisz, engenheiro de segurança do GitLab, revelou uma vulnerabilidade crítica no Claude Code, a ferramenta de inteligência artificial voltada para desenvolvedores criada pela Anthropic, empresa responsável pelo modelo Claude. A falha permite que atacantes executem comandos arbitrários no computador da vítima apenas com a abertura de um link, sem que o usuário perceba qualquer atividade suspeita. A Anthropic já publicou a versão 2.1.118 do Claude Code com a correção do problema, e a atualização é considerada urgente para quem utiliza a ferramenta.
O risco é particularmente elevado porque o Claude Code opera com acesso direto ao sistema de arquivos e ao terminal da máquina do desenvolvedor. Ao contrário de assistentes de IA que funcionam em navegadores ou interfaces web, a ferramenta interage profundamente com o sistema operacional, o que amplia significativamente o potencial de dano caso um invasor consiga explorar essa via de entrada.
A origem da vulnerabilidade está na forma como o Claude Code processa parâmetros de configuração durante a inicialização. A ferramenta possui um mecanismo que lê as definições de configuração antes mesmo de concluir seu processo de inicialização. O problema é que o sistema confia em qualquer conteúdo que se assemelhe a uma instrução de configuração, sem verificar se trata de um parâmetro legítimo ou de um texto inserido dentro de outro argumento do comando de inicialização.
Essa falta de validação abre espaço para que um atacante insira diretivas maliciosas que são interpretadas como comandos legítimos. O Claude Code permite que projetos sejam abertos por meio de links especiais, que podem conter texto adicional para pré-carregar o prompt da ferramenta. É exatamente nesse ponto que reside o vetor de ataque.
Um invasor pode inserir instruções de configuração maliciosas no texto associado ao link. Quando o desenvolvedor clica no link, o Claude Code interpreta essas instruções como comandos de configuração válidos e os executa sem solicitar qualquer confirmação ao usuário. Na prática, isso permite configurar a ferramenta para rodar qualquer comando no sistema assim que o usuário fizer login.
Schneeweisz publicou uma prova de conceito que demonstra a gravidade do problema. O exemplo utilizado abriu o aplicativo Calculator no macOS e gravou um arquivo no disco contendo informações do sistema, tudo de forma automática e invisível para o usuário.
Além dessa vulnerabilidade principal, o pesquisador identificou um segundo ponto de falha relacionado que agrava ainda mais o cenário. O Claude Code normalmente exibe um aviso ao tentar abrir um projeto que não é reconhecido pelo sistema, permitindo que o desenvolvedor decida se confia naquele repositório. Essa camada de proteção é um mecanismo de segurança importante.
No entanto, se o link malicioso incluir o nome de um projeto que o usuário já tenha aberto anteriormente e marcado como confiável no próprio computador, o aviso de segurança é suprimido por completo. Um atacante que tenha conhecimento dos projetos que a vítima costuma utilizar pode criar um link sob medida para contornar essa proteção específica, distribuindo-o por canais de comunicação como e-mail, mensageiros ou fóruns.
A combinação das duas falhas cria um cenário em que o atacante consegue executar comandos no sistema sem encontrar nenhum alerta visual. O Claude Code não distinguia corretamente entre uma instrução de configuração real e um texto que apenas se parecia com uma, falha de projeto que, no contexto de uma ferramenta com acesso ao terminal, pode ter consequências graves.
A correção foi disponibilizada pela Anthropic na versão 2.1.118 do Claude Code. A empresa não detalhou publicamente as mudanças técnicas introduzidas no patch, mas a atualização resolve a falha de validação de parâmetros de inicialização. Desenvolvedores que utilizam a ferramenta podem verificar a versão instalada ao executar o comando claude --version no terminal.
Caso o número da versão seja inferior a 2.1.118, a atualização deve ser realizada imediatamente. A correção está disponível por meio dos canais de distribuição oficiais da Anthropic, e a recomendação é que todos os usuários do Claude Code atualizem suas instalações o quanto antes.
A descoberta levanta uma questão relevante sobre o modelo de segurança de ferramentas de inteligência artificial que interagem diretamente com o sistema operacional. O Claude Code, assim como outros assistentes de programação baseados em agentes, opera com um nível de privilégio elevado por natureza, pois precisa ler, criar e modificar arquivos, além de executar comandos no terminal para cumprir suas funções.
Esse acesso amplo ao sistema é essencial para a utilidade da ferramenta no dia a dia do desenvolvedor, mas também a torna um alvo atraente para exploradores de vulnerabilidades. A separação correta entre o que é uma instrução legítima do usuário e o que pode ser conteúdo malicioso injetado por terceiros é um desafio central para esse tipo de aplicação.
O caso do Claude Code demonstra que, mesmo em ferramentas mantidas por empresas com investimentos significativos em segurança, falhas de validação de entrada podem surgir em pontos específicos da arquitetura do software. Para desenvolvedores que utilizam o Claude Code em ambientes profissionais, a lição é clara: manter as dependências atualizadas e adotar o princípio do menor privilégio possível permanecem práticas essenciais de segurança.
