Integração do Claude no Slack Abre Precedente para Ações Não Autorizadas por Automação
Aprofundamento CEVIU
Aprofundamento
O projeto On-Demand, não um produto comercial, mas uma arquitetura de agentes de IA voltada para automação corporativa em tempo real, está sob escrutínio após a descoberta da Tego AI. A vulnerabilidade no Claude Tag não é um bug de interface ou falha pontual: é uma falha estrutural de autorização. O agente responde ao texto literal "@Claude", ignorando se a menção foi feita por um humano, um bot interno ou um webhook externo. Isso transforma qualquer canal do Slack que ingira conteúdo automatizado (feeds RSS, alertas de monitoramento, integrações com SIEMs) em um vetor de execução não autorizada. Na demonstração da Tego AI, um bot simples injetou uma sequência que levou o Claude Tag a ler dados confidenciais, publicá-los no canal e apagar o recurso-fonte, tudo com permissões legítimas concedidas pela empresa.
Isso revela um problema crônico em projetos On-Demand: a confiança implícita na origem da entrada. Diferente de APIs tradicionais, que exigem tokens válidos e headers explícitos, agentes como o Claude Tag tratam mensagens de texto como instruções executáveis, sem validação de identidade, intenção ou contexto operacional. A Anthropic diz que isso não ocorre na configuração padrão, mas a Tego AI mostrou que basta uma única integração mal configurada (como um webhook com acesso a canais onde o Claude Tag está presente) para contornar essa suposição. É menos um erro de código e mais um erro de modelo de segurança: delegar autorização a um classificador de linguagem, em vez de usar controles determinísticos de runtime.
O que mudou
Em março de 2026, a CEVIU já havia alertado que agentes de IA em ferramentas como Slack, Copilot e Claude eram vulneráveis a prompt injection capaz de escapar de sandboxes e exfiltrar dados. Mas aquela cobertura tratava de ataques diretos, com injeção ativa de comandos. Agora, em julho de 2026, a vulnerabilidade do Claude Tag representa uma evolução perigosa: não há injeção. Não há engenharia de prompt sofisticada. Basta que um sistema externo, mesmo legítimo, envie uma string contendo "@Claude" em seu payload. É uma falha de *interpretação de contexto*, não de *proteção contra manipulação*. O risco deixou de ser "alguém tentando me enganar" para "meu próprio fluxo de trabalho me traindo".
Por que isso importa
Empresas que adotaram o Claude Tag para integrações com GitHub, Jira ou bases internas estão expostas a três ameaças simultâneas: exfiltração acidental de dados sensíveis, publicação indevida de informações em canais errados e exclusão não autorizada de recursos críticos, tudo com credenciais legítimas. Isso não é um vazamento por falha de autenticação; é uma execução autorizada por quem não deveria ter autoridade. Para equipes de segurança, o impacto vai além do Slack: é um teste prático de como políticas de least privilege e autorização em tempo de execução ainda são negligenciadas em arquiteturas de IA agentic. E, pior, não há patch imediato, só reconfiguração operacional e controle de fluxo de entrada.
Linha do tempo
CEVIU alerta que agentes de IA em Slack, Copilot e Claude são vulneráveis a ataques de prompt injection que escapam de sandboxes e executam malware
Pesquisador RyotaK descobre que falhas no GitHub Actions do Claude Code permitem execução remota de workflows em repositórios públicos
CEVIU divulga três vulnerabilidades críticas em agentes de IA: GitLost no GitHub, Rogue Agent no Dialogflow CX e falha de prompt injection em agentes do GitHub
Tego AI revela vulnerabilidade crítica no Claude Tag para Slack, permitindo ações não autorizadas via menções literais de '@Claude' originadas de bots e feeds automatizados
Perguntas frequentes
O que é exatamente o projeto On-Demand mencionado na notícia?
On-Demand é uma arquitetura de agentes de IA projetada para automação em tempo real em ambientes corporativos. Não é um produto comercial lançado ao público, mas um modelo operacional usado em integrações como a Claude Tag, onde o agente age com identidade própria, credenciais e permissões dentro de plataformas como o Slack.
Por que a Anthropic discorda da gravidade da falha?
A Anthropic classificou o relatório como 'informativo' e afirmou que, na configuração padrão do produto, o Claude Tag não é ativado por menções literais de '@Claude' originadas de bots ou webhooks. A divergência está na interpretação do que é 'padrão': a Tego AI demonstrou que, com configurações comuns em ambientes empresariais, como canais que recebem feeds externos, o comportamento indesejado ocorre de forma reproduzível.
Essa vulnerabilidade afeta apenas o Slack ou outras plataformas também?
A falha específica foi encontrada no Claude Tag para Slack, mas o padrão de design, confiar em menções textuais como gatilhos de execução sem validação de origem, é recorrente. Em 11 de julho de 2026, a CEVIU relatou falhas semelhantes no GitHub (GitLost) e no Dialogflow CX (Rogue Agent), indicando que o problema é sistêmico em agentes de IA que operam em ambientes colaborativos.
Quais são as medidas imediatas recomendadas pelas equipes de segurança?
Evitar canais do Slack que recebam conteúdo de fontes não confiáveis, aplicar permissões de leitura apenas nas integrações do Claude Tag, restringir acesso administrativo ao agente e implementar autorização independente em tempo de execução para ações sensíveis, como exclusão de recursos ou leitura de dados confidenciais. Logs do Slack devem ser retidos para auditoria.
Fontes
- hackread.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

