Equipe da Mozilla demonstra como a vontade de ajudar do Claude Code pode ser explorada para execução de códigos maliciosos durante a inicialização de projetos.
Ferramentas de inteligência artificial voltadas para programação, como o Claude Code, apresentam uma vulnerabilidade que permite a execução de malware através de repositórios aparentemente seguros no GitHub. A falha foi detalhada pela equipe 0din, da Mozilla, que demonstrou como a tendência desses agentes em serem prestativos pode ser manipulada por atacantes.
O vetor de ataque explora a fase de inicialização de um projeto. Segundo a equipe de segurança da Mozilla, um agente de IA pode ser enganado para rodar códigos maliciosos a partir de um repositório mínimo no GitHub. O problema ocorre quando o usuário solicita à ferramenta que configure ou inicialize o ambiente, fazendo com que o bot execute comandos ocultos no repositório.
A vulnerabilidade reside no comportamento padrão desses sistemas de IA, que priorizam a execução das tarefas solicitadas pelos desenvolvedores. Ao tentar auxiliar na configuração do projeto de forma autônoma, o agente acaba baixando e instalando o malware no sistema do usuário. A demonstração com o Claude Code evidencia como a própria arquitetura de auxílio dessas ferramentas pode ser transformada em um mecanismo de invasão.
O cenário exposto pela Mozilla levanta alertas significativos para o ciclo de desenvolvimento de software, que tem adotado rapidamente agentes autônomos para tarefas de rotina. Como os repositórios utilizados como isca parecem legítimos e limpos em uma análise superficial, a detecção da ameaça torna-se dificultada tanto para o desenvolvedor humano quanto para os sistemas de segurança tradicionais.
Diante dessa descoberta, a recomendação para equipes de tecnologia é estabelecer limites rigorosos sobre as permissões concedidas a agentes de IA durante a leitura e execução de códigos de terceiros. A exploração da 'utilidade' das IAs reforça a necessidade de revisões manuais e do isolamento de ambientes antes da automatização de processos de inicialização de códigos externos.
Atacantes criam repositórios falsos no GitHub que parecem legítimos. Quando o usuário pede à IA, como o Claude Code, para inicializar ou configurar o projeto, o bot executa comandos ocultos no repositório, baixando e instalando o malware no sistema.
A detecção é difícil porque os repositórios utilizados como isca parecem limpos e seguros em uma análise superficial. Além disso, a própria arquitetura prestativa da IA prioriza a execução das tarefas solicitadas, contornando a desconfiança tanto do desenvolvedor humano quanto das ferramentas de segurança tradicionais.
A recomendação é estabelecer limites rigorosos sobre as permissões concedidas aos agentes de IA durante a leitura e execução de códigos de terceiros. Também é essencial realizar revisões manuais e isolar os ambientes de desenvolvimento antes de automatizar processos de inicialização de códigos externos.