Falha em extensões do Claude expõe 10 mil usuários a execução remota de códigos
Por Jaqueline Sousa • Editado por Jones Oliveira |
Uma falha de clique zero detectada na execução remota de código de extensões do Claude impacta mais de 10 mil usuários ativos da ferramenta de inteligência artificial (IA) da Anthropic.
- Tudo sobre o Claude: conheça os modelos e recursos da IA da Anthropic
- Quais são e como funcionam os estilos do Claude?
A descoberta foi feita por pesquisadores da LayerX, que identificaram o erro vindo da criação de um evento no Google Agenda. Isso foi possível porque as extensões do Claude possuem acesso total ao sistema do dispositivo, permitindo que a ferramenta realize ações automáticas de baixo risco, como inserir um compromisso na agenda do Google, por exemplo, sem pedir permissão ao usuário.
Dessa forma, um comando malicioso pode desencadear uma série de ações que comprometem o sistema e violam os limites de confiança nos fluxos de trabalho dentro da IA. Tudo isso porque a ferramenta tem autorização para marcar e organizar os seus compromissos por você.
Evento corrompido
O erro na execução remota de código ocorre graças à própria arquitetura do sistema do Claude, cujas extensões agem de maneira ativa dentro da plataforma. Assim, ao processar informações com conectores públicos, a ferramenta pode determinar automaticamente quais recursos vinculados podem melhor atender à solicitação maliciosa, com o Google Agenda sendo um dos mais “solícitos”.
Diante desse cenário, uma extensão que está sob uma influência corrompida consegue se conectar a uma ferramenta de baixo risco para executar o código comprometido, encaminhando os dados para um MCP local. Logo, basta que um simples comando para verificar eventos recentes seja acionado para que a IA da Anthropic comece a impulsionar a cadeia de destruição.
A ação ocorre principalmente por meio da execução de um git pull e de um arquivo make, uma combinação que não requer cliques e nem mesmo confirmações vindas de prompts para operar.
Até mesmo uma alteração no nome de um evento pode desencadear o erro, sem que o usuário precise conceder qualquer tipo de autorização explícita. A ferramenta pode, então, executar comandos maliciosos sem levantar suspeitas, permanecendo oculta como se tivesse promovendo uma ação legítima.
Por enquanto, não há registros acerca de uma possível correção do erro pela Anthropic devido à complexidade do caso, que tem relação com uma vulnerabilidade de infraestrutura em vez de ser algo localizado.
Leia também:
- Especialistas alertam para falhas de segurança críticas no Moltbook
- Espionagem no VS Code: extensões de IA roubam código de 1,5 mi de devs
- Agentes de IA ainda não realizam ciberataques sozinhos, mas estão quase lá
Fonte: LayerX