Claude Code expõe chaves de API em pacotes npm

Claude Code expõe chaves de API e senhas em pacotes npm; descubra os riscos para empresas de TI e como proteger suas credenciais.

25/04/2026 14:50

2 min de leitura

Tela de segurança cibernética mostra vazamento de credenciais em...

Vazamento de Credenciais no Claude Code da Anthropic

Uma falha no Claude Code, assistente de programação da Anthropic, está expondo chaves de API, tokens de autenticação e credenciais de produção em pacotes publicados no registro npm. Identificada pela Lakera AI em abril de 2026, essa vulnerabilidade afeta desenvolvedores que utilizam o comando ‘allow always’, que registra segredos em texto puro em arquivos de configuração frequentemente enviados para repositórios públicos.

Essa vulnerabilidade impacta diretamente as equipes de TI que utilizam a ferramenta no desenvolvimento de software, expondo credenciais críticas em registros públicos de pacotes.

Como o Vazamento Acontece na Prática

O problema ocorre quando o Claude Code solicita a execução de um comando no terminal e o desenvolvedor opta por ‘allow always’. Essa ação registra o comando, incluindo chaves de API e senhas, em um arquivo chamado .claude/settings.local.json. O risco aumenta porque diretórios ocultos nem sempre são ignorados por ferramentas de publicação como o npm, resultando no envio involuntário de arquivos com credenciais para a nuvem.

A Lakera AI monitorou cerca de 46.500 pacotes no npm e descobriu que aproximadamente 1 em cada 13 arquivos .claude continha segredos de segurança, incluindo tokens de autenticação do npm e chaves de acesso do GitHub.

Código-Fonte do Claude Code Também Foi Exposto

Em um incidente separado, a Anthropic expôs acidentalmente o código-fonte completo do Claude Code em 31 de março de 2026, através de um arquivo source map incluído por engano em um pacote npm. O arquivo continha 512 mil linhas de TypeScript e foi acessado por um período crítico de mais de três horas, durante o qual uma versão maliciosa da biblioteca Axios foi distribuída.

Após o vazamento, agentes maliciosos rapidamente criaram repositórios falsos no GitHub, distribuindo malwares disfarçados de versões ‘vazadas’ do Claude Code, aumentando ainda mais o risco para os desenvolvedores.

Impacto Direto para Equipes de TI e Cibersegurança

Os incidentes representam uma ameaça significativa para organizações, expondo-as a acessos não autorizados e comprometendo pipelines de CI/CD. A exposição do código-fonte permite que agentes maliciosos identifiquem vulnerabilidades internas e criem pacotes que imitam dependências legítimas, aumentando a superfície de ataque.

A Lakera AI alertou que a falha se estende a outros gerenciadores de pacotes, como PyPI e RubyGems, e recomenda que equipes que utilizam o Claude Code realizem auditorias imediatas em seus processos de desenvolvimento.

As ações recomendadas incluem verificar se o arquivo .claude/settings.local.json está listado no .gitignore e .npmignore, realizar varreduras em pacotes publicados e implementar ferramentas de secret scanning automatizado.

Conclusão

O episódio destaca a necessidade de uma revisão cuidadosa dos arquivos de configuração gerados por assistentes de IA, que se tornou uma exigência operacional nas organizações. Para aquelas que já sofreram exposições, é crucial conter danos, revogar tokens comprometidos e auditar logs de acesso para minimizar impactos financeiros e reputacionais.

Fonte por: Its Show

chaves de APIcibersegurançadesenvolvimento de softwaresegurança da informaçãovazamento de credenciais

Autor(a):

Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real

CONTINUA DEPOIS DA PUBLICIDADE

Ative nossas Notificações

Ative nossas Notificações

Fique por dentro das últimas notícias em tempo real!