Uma falha estrutural no Claude Code, assistente de programação da Anthropic, está expondo silenciosamente chaves de API, tokens de autenticação e credenciais de produção em pacotes publicados no registro npm. O problema foi identificado pela Lakera AI em abril de 2026 e afeta desenvolvedores que utilizam o comando ‘allow always’ na ferramenta, uma ação rotineira que registra segredos em texto puro dentro de um arquivo de configuração que frequentemente é enviado para repositórios públicos junto ao código-fonte.
Uma vulnerabilidade silenciosa no Claude Code, ferramenta de programação baseada em inteligência artificial desenvolvida pela Anthropic, está expondo credenciais críticas de desenvolvedores em registros públicos de pacotes. O problema, identificado pela empresa de segurança Lakera AI e reportado em abril de 2026, afeta diretamente equipes de TI que adotaram a ferramenta no ciclo de desenvolvimento de software.
Como o vazamento acontece na prática
O mecanismo por trás do problema é simples e, justamente por isso, perigoso. Quando o Claude Code solicita a execução de um comando no terminal, o desenvolvedor tem a opção de selecionar ‘allow always’. Essa ação, aparentemente inofensiva, faz com que o comando exato, incluindo quaisquer chaves de API, tokens ou senhas presentes nele, seja registrado em texto puro no arquivo .claude/settings.local.json.
O problema se agrava porque diretórios ocultos, ou seja, aqueles cujo nome começa com ponto, nem sempre são incluídos nas configurações de arquivos ignorados por ferramentas de publicação como o npm. O resultado: o arquivo com as credenciais é enviado para a nuvem junto com o código-fonte, de forma completamente invisível durante o fluxo normal de trabalho do desenvolvedor.
A Lakera AI monitorou aproximadamente 46.500 pacotes no registro npm para avaliar a extensão do problema. Os dados são alarmantes, cerca de 1 em cada 13 arquivos .claude publicados carregava algum segredo de segurança. Entre as credenciais expostas foram encontrados tokens de autenticação do npm, chaves de acesso do GitHub, tokens da API de bots do Telegram, credenciais de produção para serviços de terceiros e chaves da Hugging Face.
Código-fonte do Claude Code também foi exposto
O episódio das credenciais vazadas ocorreu em paralelo a outro incidente grave envolvendo a própria Anthropic. Em 31 de março de 2026, a empresa expôs acidentalmente o código-fonte completo do Claude Code por meio de um arquivo source map incluído por engano no pacote npm versão 2.1.88. O arquivo comprimido tinha 59,8 MB e continha 512 mil linhas de TypeScript distribuídas em cerca de 1.900 arquivos.
A janela de vulnerabilidade crítica durou pouco mais de três horas, entre 00h21 e 03h29 UTC, período em que uma versão maliciosa da biblioteca Axios, com um trojan de acesso remoto embutido, foi distribuída junto ao pacote comprometido. A Anthropic removeu o pacote, emitiu notificações DMCA e declarou que nenhum dado de clientes foi exposto, classificando o ocorrido como um erro humano de empacotamento.
A resposta da comunidade criminosa foi imediata. Em menos de 24 horas após o vazamento do código-fonte, agentes maliciosos criaram repositórios falsos no GitHub distribuindo os malwares Vidar e GhostSocks disfarçados de versões supostamente ‘vazadas’ do Claude Code. Pelo menos dois repositórios foram identificados, mantidos por um usuário registrado como ‘idbzoomh’.
Impacto direto para equipes de TI e Cibersegurança
Para executivos e líderes de TI, os dois incidentes combinados representam uma ameaça concreta em múltiplas camadas. O Claude Code vazamento de chaves de API expõe organizações a acessos não autorizados em ambientes de produção, comprometimento de pipelines de CI/CD e uso indevido de serviços pagos vinculados às credenciais expostas.
Já a exposição do código-fonte amplia a superfície de ataque ao permitir que agentes maliciosos identifiquem vulnerabilidades internas, incluindo CVEs catalogados, criem pacotes que imitam dependências legítimas em ataques de confusão de dependências e distribuam malwares sofisticados aproveitando a confiança dos desenvolvedores na marca.
O risco não se limita ao ecossistema npm. A Lakera AI alertou que a mesma falha se estende a outros gerenciadores de pacotes, incluindo o PyPI para Python, RubyGems e Maven para Java. Qualquer equipe que utilize o Claude Code em seu pipeline de desenvolvimento e publique pacotes nesses registros deve considerar uma auditoria imediata.
As ações recomendadas por especialistas são objetivas. Primeiro, verificar se o arquivo .claude/settings.local.json está devidamente listado no .gitignore e no .npmignore de todos os repositórios ativos. Segundo, realizar uma varredura retrospectiva em pacotes já publicados para identificar exposições anteriores. Terceiro, realizar a rotação imediata de qualquer credencial que possa ter sido comprometida. Quarto, implementar ferramentas de secret scanning automatizado no pipeline de publicação.
O episódio reforça um alerta que especialistas em segurança de supply chain de software vêm emitindo com frequência crescente, a adoção acelerada de ferramentas de IA no desenvolvimento de software introduz vetores de risco novos e, muitas vezes, invisíveis para equipes não treinadas para identificá-los. A revisão humana dos arquivos de configuração gerados por assistentes de IA deixou de ser uma boa prática opcional para se tornar uma exigência operacional em ambientes corporativos.
Para organizações que já sofreram exposição, a prioridade é conter o dano, revogar tokens comprometidos, auditar logs de acesso dos serviços afetados e notificar as partes envolvidas conforme exigências regulatórias aplicáveis. A velocidade de resposta é determinante para limitar o impacto financeiro e reputacional do incidente.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!