Descoberta e vetor de ataque
As vulnerabilities permitem que atores maliciosos "armem" arquivos de configuração no nível do projeto (como configurações de Hooks e MCP - Model Context Protocol) dentro de um repositório Git. Quando um desenvolvedor clona e abre esse repositório malicioso no Claude Code, a automação embutida é acionada antes que o usuário confirme explicitamente a confiança no diretório. Isso inverte o modelo de segurança, transferindo o controle para a configuração do repositório.
Impacto e alcance
O CVE-2025-59536 permite o bypass do consentimento do usuário, executando ações não autorizadas. Já o CVE-2026-21852 é mais severo, permitindo o roubo de chaves API da Anthropic redirecionando o tráfego autenticado para um servidor controlado pelo atacante. Uma chave API comprometida oferece acesso aos Workspaces da plataforma, onde múltiplas chaves compartilham acesso a arquivos de projeto armazenados na nuvem, possibilitando modificação, exclusão, upload de conteúdo malicioso e geração de custos de API não autorizados.
Repercussão e correção
A Check Point coordenou a divulgação com a Anthropic, que já implementou correções. As mitigações incluem o fortalecimento dos prompts de confiança do usuário, o bloqueio da execução de ferramentas externas sem aprovação explícita e a prevenção de comunicações de API até que a confiança seja confirmada. A Anthropic recomenda que todos os usuários atualizem para a versão mais recente do Claude Code.
Implicações para a cadeia de suprimentos de IA
Essas descobertas destacam uma evolução crítica no modelo de ameaças da cadeia de suprimentos de software com a integração de ferramentas de IA agentivas. Arquivos de configuração de repositório, antes vistos como metadados passivos, agora podem influenciar execução, rede e permissões. O risco se estende além da execução de código não confiável para simplesmente abrir um projeto não confiável, exigindo que as organizações atualizem seus controles de segurança para os novos limites de confiança.