Eu dei as chaves ao Claude Code. Um worm também as teve.
Agentes de codificação de IA não estão sofrendo jailbreak. Eles estão fazendo exatamente o que você os construiu para fazer. Eles usam suas credenciais para executar comandos. O problema é que os atacantes podem fornecer a entrada.
Vulnerabilidades recentes mostram três maneiras diferentes de isso acontecer.
- O Worm de Cadeia de Suprimentos
Um worm chamado Mini Shai-Hulud atingiu mais de 170 pacotes. Ele não apenas rouba as chaves e vai embora. Ele se escreve nos seus arquivos de configuração. Ele se esconde em
.vscode/tasks.jsonou.claude/settings.json. Esses arquivos executam código automaticamente quando você abre uma pasta ou inicia uma sessão. Mesmo que você exclua o pacote malicioso, o hook malicioso permanece no seu disco.
- O Worm de Cadeia de Suprimentos
Um worm chamado Mini Shai-Hulud atingiu mais de 170 pacotes. Ele não apenas rouba as chaves e vai embora. Ele se escreve nos seus arquivos de configuração. Ele se esconde em
- O Bypass de Allowlist
O editor Cursor usa uma allowlist para tornar a execução automática segura. Atacantes encontraram uma maneira de contorná-la usando built-ins do shell, como
export. Usando prompt injection, um atacante faz com que o agente defina uma variável de ambiente envenenada. Isso faz com que um comando aprovado se comporte de uma maneira que você nunca pretendeu. O controle de segurança falhou porque foi construído para humanos, não para máquinas.
- O Bypass de Allowlist
O editor Cursor usa uma allowlist para tornar a execução automática segura. Atacantes encontraram uma maneira de contorná-la usando built-ins do shell, como
- A Falha de Protocolo
O proxy
mcp-remotepossui uma falha crítica de injeção de comando. Se você se conectar a um servidor MCP malicioso, ele pode executar comandos em sua máquina durante o handshake. Isso acontece porque o cliente confia no servidor com o qual se comunica.
- A Falha de Protocolo
O proxy
A questão central é simples. Um agente de codificação apaga a linha entre dados e comandos. Um LLM vê instruções e dados externos como a mesma coisa. Não há fronteira entre o que você diz e o que o mundo diz ao agente.
Como se proteger:
- Use tokens de curta duração em vez de chaves de longa duração em suas variáveis de ambiente.
- Desative a execução automática para qualquer tarefa que toque em segredos ou produção.
- Monitore seus arquivos de configuração, como
.claude/settings.json, para mudanças inesperadas. - Trate as atestações de procedência como prova de origem, não como prova de segurança.
- Fixe suas dependências em hashes específicos.
Trate seu agente de IA como qualquer outro processo de alto privilégio. Ele precisa de limites estritos.
Se você executa agentes no modo auto-run, como você decide quando deixá-lo trabalhar e quando pará-lo?
Fonte: https://dev.to/kkierii/i-gave-claude-code-the-keys-so-did-a-worm-34a4
Comunidade de aprendizado opcional: https://t.me/GyaanSetuAi