A pesquisa da LayerX revelou uma falha grave na arquitetura das Claude Desktop Extensions (DXT) que permite execução remota de código sem interação do usuário. A vulnerabilidade, descrita como “0‑click RCE”, foi atribuída por LayerX a mais de 10.000 usuários ativos e a mais de 50 extensões DXT.
Descoberta e escopo
O relatório da LayerX descreve um cenário em que um evento de Google Calendar malicioso serve como vetor de ataque. Segundo a análise, a extensão local do Claude (parte do ecossistema Model Context Protocol - MCP) pode ler a descrição do evento, clonar um repositório Git controlado pelo atacante e executar um arquivo make.bat sem confirmação explícita do usuário.
Vetor e exploração
A falha não é apresentada como um buffer overflow tradicional, mas como uma falha de fluxo de trabalho (workflow): o agente de LLM encadeia autonomamente um conector de baixo nível de confiança (Google Calendar) com um executor local de alto privilégio (Desktop Commander). LayerX atribui à vulnerabilidade um CVSS teórico de 10/10 e descreve o ataque apelidado de “Ace of Aces”.
Evidências e limites do que se sabe
O material disponível da LayerX detalha o passo a passo do exploit e demonstra a possibilidade de comprometimento completo do sistema por meio do fluxo descrito. A reportagem original informa que a divulgação foi feita aos criadores do Claude, a Anthropic. A LayerX afirma:
“This creates system‑wide trust boundary violations in LLM‑driven workflows.”
Não há, porém, indicação pública de exploração massiva no wild até o momento das reportagens citadas, nem há anúncio formal de boletim de segurança com número de CVE na fonte consultada. Também não foram fornecidos detalhes de versões específicas das DXT afetadas na divulgação pública da LayerX reproduzida pela imprensa.
Decisão do fornecedor e risco residual
De acordo com a matéria, Anthropic foi informada da pesquisa e, segundo a LayerX, optou por não aplicar uma correção imediata ao comportamento que permite encadear ferramentas com diferentes níveis de confiança — possivelmente por tratar‑se de comportamento projetado do MCP. A falta de mitigação por parte do fornecedor mantém organizações e usuários com extensões de alto privilégio expostos enquanto a arquitetura permanecer inalterada.
Impacto e recomendações práticas
- Impacto: potencial comprometimento de sistemas com privilégios equivalentes ao usuário que executa a extensão, capacidade de leitura de arquivos, acesso a credenciais armazenadas e modificação de configurações do OS.
- Recomendação imediata (LayerX): desconectar extensões locais de alto privilégio em máquinas que também consumam conectores que ingerem dados externos não confiáveis (calendários, e‑mail, chats públicos).
- Controles adicionais: isolar instâncias que executem MCP/DEXT em ambientes com privilégio mínimo; restringir acesso a repositórios externos por políticas de rede; monitorar chamadas de execução e clones Git originados por processos da DXT.
Implicações para equipes de segurança
Para CISOs e equipes de defesa, a descoberta chama atenção para um novo tipo de superfície de ataque introduzida por agentes autônomos: o alinhamento incorreto entre a confiança da fonte de dados e a confiança do executor local. A correção exige, idealmente, mudança arquitetural no modo como conectores e executores validam autorização para executar código obtido de fontes externas.
O que falta
As reportagens citadas não apresentam: (a) confirmação de exploração ativa em larga escala; (b) identificação de versões específicas afetadas; (c) boletim de segurança público com número de CVE ou patches oficiais detalhados. Essas informações são necessárias para avaliação de risco e priorização de correções em ambientes empresariais.
Conclusão
A pesquisa da LayerX expõe um risco real na interseção entre LLMs autônomos e conectores locais privilegiados. Enquanto não houver mudança arquitetural ou limitação explícita no encadeamento de ferramentas, a recomendação é tratar conectores MCP/DEXT como componentes de alto risco em ambientes críticos e aplicar isolamento e restrições operacionais.