Falhas ocultas nas revisões de segurança do Claude Code

O Claude Code, ferramenta de assistência de codificação da Anthropic, enfrenta falhas críticas de segurança que vão além do viés de contexto na revisão de código — como apontado no artigo original sobre o security-review. Desde fevereiro de 2025 até maio de 2026, foram divulgadas ao menos quatro vulnerabilidades com CVSS entre 5.3 e 8.7, incluindo a CVE-2025-59536 e a CVE-2026-21852, ambas corrigidas em atualizações específicas (v1.0.111 e v2.0.65). Em 24 de maio de 2026, uma falha crítica descoberta por Joern Schneeweisz permitia execução remota de comandos apenas ao abrir um link malicioso, exigindo atualização imediata para a versão 2.1.118. Além disso, em 1º de abril de 2026, ocorreu uma exposição acidental de cerca de 512 mil linhas de código-fonte interno do Claude Code, reforçando riscos de engenharia reversa e exploração de lógica interna.

A nova funcionalidade Claude Code Security, lançada em prévia limitada em 20 de fevereiro de 2026, promete detecção avançada de vulnerabilidades com base no Claude Opus 4.6, mas testes independentes revelam limitações estruturais: ela opera apenas no diff ou no código-fonte visível, ignorando cadeias de ataque distribuídas entre múltiplos arquivos ou dependências externas. Isso contrasta com a afirmação da Anthropic de que o modelo 'raciocina como um pesquisador humano', pois falha em cenários de exploração multi-etapa, como demonstrado em testes com Claude Opus 4.8 em junho de 2026.

Essas falhas não são teóricas: elas permitem execução remota de código, roubo de credenciais de API da Anthropic, exfiltração de arquivos locais e injeção de comandos shell sem interação adicional — basta abrir um diretório ou link controlado por invasores. Para equipes de desenvolvimento brasileiras que já adotam o Claude Code em pipelines CI/CD ou ambientes corporativos, o risco é operacional e regulatório, especialmente sob a LGPD, já que a ferramenta pode acessar e processar dados sensíveis sem auditoria nativa robusta. O caso do Claude Cowork, que opera diretamente no desktop, agrava ainda mais o cenário: sua arquitetura de permissões amplas e lacunas de monitoramento exigem camadas adicionais de proteção — como SIEMs customizados ou integração com ferramentas como Snyk CLI — para mitigar ameaças reais de exfiltração e automação maliciosa.

Desenvolvedores que confiam no security-review do Claude Code para validação automatizada estão expostos a falsos negativos críticos, pois o recurso ignora o contexto global do projeto e dependências externas, conforme evidenciado por testes com cadeias de ataque complexas. A recomendação de executar revisões em sessões isoladas — embora válida — não resolve falhas de design mais profundas, como a ausência de sandboxing efetivo para hooks ou MCP servers. Além disso, a dependência crescente de modelos como o Claude Opus 4.6 e Claude Opus 4.8 em fluxos de trabalho produtivos exige que equipes validem outputs com ferramentas tradicionais (ex.: Semgrep, Bandit, Snyk), pois nenhuma versão do Claude Code — nem mesmo as mais recentes — substitui análise humana especializada ou testes de penetração contínuos. A evolução para agentes autônomos como o Claude Cowork torna essencial a adoção de políticas de least privilege, logging granular e bloqueio de execução não autorizada em tempo real.