CEVIU Logo
Voltar

Um único issue no GitHub era suficiente para comprometer toda a supply chain do Claude Code

Aprofundamento CEVIU

Aprofundamento

A falha no Claude Code não é um caso isolado de má configuração, é o sintoma mais recente de uma falha estrutural em como agentes de IA são integrados a ambientes de CI/CD: confiar cegamente em conteúdo não confiável (como títulos de issues) enquanto se concede acesso privilegiado a ferramentas reais. RyotaK explorou exatamente essa brecha: o Claude Code validava permissões com base apenas no sufixo [bot], ignorando que qualquer pessoa pode registrar um GitHub App e disparar workflows em repositórios públicos. O ataque não exigia engenharia social ou acesso prévio, bastava abrir um issue com um título malicioso que simulava erro, mas injetava comandos para ler /proc/self/environ e extrair tokens OIDC. Uma vez obtido o token de instalação do app, o atacante ganhava escrita total no repositório, inclusive no próprio código-fonte da claude-code-action, o que tornaria o comprometimento cascata para milhares de projetos downstream.

O risco real está na combinação letal: IA com capacidade de execução real + entrada não validada + permissões excessivas. Isso já gerou danos concretos: em fevereiro de 2026, um ataque semelhante contra o workflow de triagem do Cline resultou na publicação não autorizada de [email protected], que instalou o agente OpenClaw em cerca de 4.000 máquinas em oito horas. E o 'Megalodon', em maio, infectou 5.561 repositórios com workflows maliciosos usando commits automatizados de um 'build-bot', provando que esse vetor não é teórico, mas operacional e em escala.

O que mudou

A cobertura CEVIU de 27 de maio já alertava sobre envenenamento de cache e ameaças à cadeia de suprimentos no GitHub Actions, mas a falha do Claude Code mostra uma evolução crítica: agora o ponto de entrada não é um cache contaminado ou um pacote npm, mas o próprio fluxo de colaboração aberto, issues e PRs. Antes, o foco era em dependências e artefatos; agora, o conteúdo humano (títulos, descrições) vira vetor de ataque quando processado por IAs com ferramentas privilegiadas. Também houve mudança prática: a Anthropic corrigiu a lógica de permissão (v1.0.94), desabilitou resumos automáticos e passou a ignorar edições pós-disparo, medidas que não constavam nas orientações genéricas anteriores sobre modelagem de ameaças.

Por que isso importa

Empresas que usam agentes de IA em pipelines de desenvolvimento estão expostas a um novo tipo de vulnerabilidade de supply chain: não há necessidade de comprometer servidores ou contas de desenvolvedores, basta interagir com o repositório de forma legítima. Um único issue público pode ser suficiente para roubar tokens, modificar código-fonte ou injetar malware em releases. A pesquisa web mostra que 38% das organizações têm workflows vulneráveis a esse tipo de injeção, e dois em cada três possuem ao menos uma falha crítica. Isso afeta diretamente a confiança em automações de segurança, compliance e entrega contínua, especialmente em setores regulados, onde um token OIDC comprometido pode equivaler a uma brecha de acesso irrestrito a ambientes de produção.

Linha do tempo

  1. CEVIU publica análise sobre envenenamento de cache no GitHub Actions, destacando riscos em workflows de publicação com altos privilégios

  2. CEVIU detalha modelagem de ameaças em ambientes GitHub, com foco em acesso não autorizado e exfiltração de dados em CI/CD

  3. Divulgação da falha crítica no Claude Code que permite controle total de repositórios públicos via um único issue

Perguntas frequentes

Como um simples issue no GitHub pode levar ao controle total de um repositório?

O issue continha um título com injeção de prompt que enganava o Claude Code para executar comandos. Como a verificação de permissões confiava apenas no sufixo [bot], o atacante usou seu próprio GitHub App para disparar o workflow. Depois, leu variáveis de ambiente via /proc/self/environ e extraiu credenciais OIDC para obter um token com acesso de escrita no repositório.

Essa falha afeta apenas o Claude Code ou é um problema mais amplo?

É um padrão emergente. Pesquisas de dezembro de 2025 já identificaram a mesma classe de vulnerabilidade em Gemini CLI (Google), OpenAI Codex e outros agentes. O problema estrutural é a combinação de IA com ferramentas privilegiadas processando entradas não confiáveis, não é específico de uma ferramenta, mas de como elas são implantadas.

O que posso fazer agora para proteger meus workflows do GitHub Actions?

Revise permissões de todos os apps instalados em seus repositórios. Desative workflows que respondem a issues ou PRs de não-colaboradores. Nunca exponha segredos em ambientes onde a IA possa acessá-los. Evite usar tokens com escopo amplo em ações acionadas por eventos públicos. Audite exemplos oficiais de workflows, como o da Anthropic, pois muitos ainda contêm má configurações perigosas.

Por que a correção levou apenas quatro dias, se a falha era tão grave?

A Anthropic priorizou a correção porque a vulnerabilidade estava ativa no próprio repositório da claude-code-action, ou seja, o atacante poderia ter modificado diretamente o código da ação, propagando o comprometimento para todos os usuários. A rapidez reflete o risco imediato de cadeia de suprimentos, não a simplicidade técnica da correção.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
02 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser