Skip to content
domingo 19 julho 2026
Trending
outubro 22, 2024Empresário acusado de aplicar golpes com empréstimos é preso; prejuízo chega a R$ 740 mil maio 13, 2026Anthropic ultrapassa OpenAI e conquista mais clientes no setor empresarial julho 2, 2026Brasil e Noruega se enfrentam em “calor intenso” nos Estados Unidos; saiba mais! agosto 8, 2025Agosto Lilás: A importância da lei, a luta pela defesa dos direitos e a luta pelo fim da violência contra a mulher. julho 16, 2026Lore Improta expressa suas dificuldades com a amamentação do filho Levi: “Sinto meu peito seco abril 28, 2026Janguiê Diniz lança Mentor Capital Group e reúne grandes nomes do empreendedorismo em São Paulo abril 16, 2026Mario Frias é hospitalizado após problemas de saúde; descubra mais informações maio 21, 2026Margo em Dificuldades: O Que Esperar da Segunda Temporada? dezembro 9, 2024Renato Bernardinelli: O Mensageiro Da Fé E Da Esperança Planeja Um Retorno Triunfal Em 2025 maio 27, 2026Maio Laranja e a urgência de enxergar o que o silêncio esconde
Sorocaba Atual
Sorocaba Atual
Sorocaba Atual
Sorocaba Atual
  • Home
  • Entretenimento
  • Esportes
  • Notícias
  • Saúde
  • Home
  • News
  • Categories
  • Features
  • Shop
  • Live
Sorocaba Atual
Sorocaba Atual
Tecnologia
Tecnologia

Vazamento de chaves de API e senhas pelo IA Claude Code em pacotes de software

Sorocaba AtualSorocaba Atualabril 22, 2026 1213 Minutes read0

A rápida evolução da inteligência artificial na criação de software tem proporcionado aumentos significativos na produtividade, mas também traz à tona novos perigos. Um exemplo é o Claude Code, um assistente de codificação que opera via linha de comando e que se tornou alvo de um alerta de segurança devido ao armazenamento indevido de comandos autorizados em arquivos locais, os quais podem ser inadvertidamente expostos em repositórios públicos.

Como ocorre o vazamento

A raiz do problema está relacionada ao sistema de permissões dessa ferramenta. Quando o Claude solicita a execução de um comando no terminal, o usuário pode optar por “allow always” (permitir sempre). Conforme indica a Lakera AI, essa escolha resulta no registro do comando em um arquivo chamado .claude/settings.local.json, que fica localizado na raiz do projeto.

O perigo surge porque muitos desenvolvedores inserem chaves de API, tokens de autenticação ou variáveis de ambiente diretamente nas linhas de comando, como acontece em chamadas curl ou durante scripts de deploy. Quando o comando é registrado no histórico de permissões, a credencial é armazenada em texto simples na pasta do projeto.

Uma vez que diretórios ocultos (aqueles iniciados por ponto) não são sempre ignorados por padrão em ferramentas de publicação como o npm, esse arquivo pode ser enviado para a nuvem junto com o código-fonte, tornando-se acessível a qualquer pessoa que deseje baixá-lo.

Números preocupantes: 1 em cada 13 arquivos expostos

Para ilustrar a gravidade do cenário, pesquisadores analisaram cerca de 46.500 pacotes no repositório npm. Os dados obtidos pela Check Point Software revelam que:

  • 428 pacotes continham o arquivo de configuração associado ao Claude Code.
  • 33 arquivos (distribuídos em 30 pacotes diferentes) apresentavam credenciais ativas e sensíveis.
  • Aproximadamente 1 em cada 13 arquivos .claude publicados continha algum tipo de segredo relacionado à segurança.

Entre as informações detectadas nos pacotes disponíveis publicamente estavam tokens de autenticação do npm, chaves do GitHub, tokens da API para bots do Telegram, além de credenciais para serviços de terceiros e chaves da Hugging Face.

O risco da “automação cega”

A questão dos vazamentos é considerada especialmente crítica por sua invisibilidade dentro do fluxo normal das atividades. Steve Giguere, especialista da Check Point Software, destaca: “Essa análise evidencia que assistentes programáticos baseados em IA estão criando novas formas para que esses segredos sejam gerados e acidentalmente expostos”.

Giguere enfatiza que as empresas não devem assumir que as soluções automatizadas pela IA são infalíveis. Qualquer arquivo destinado à proteção, como regras em .gitignore ou .npmignore, deve passar por uma validação humana para assegurar que informações sensíveis não sejam inadvertidamente divulgadas.

Medidas para proteger seu código

Aqueles que utilizam o Claude Code ou ferramentas similares devem adotar ações imediatas recomendadas pelos especialistas:

  • Atualize seus filtros: inclua obrigatoriamente a pasta .claude/ nas listas .npmignore e .gitignore do seu projeto.
  • Verifique antes da publicação: utilize comandos como “npm pack –dry-run” para revisar quais arquivos serão incluídos no pacote antes do envio final.
  • Limpeza do histórico: caso tenha publicado um pacote contendo esse arquivo anteriormente, considere todas as chaves ali presentes como comprometidas e proceda com a revogação e rotação imediata das senhas e tokens.

Ainda que este estudo tenha se concentrado no ecossistema npm (Node.js), a Lakera AI alerta que o risco se estende a outros gerenciadores como PyPI (Python), RubyGems e Maven (Java), especialmente se as regras para exclusão de arquivos não estiverem adequadamente configuradas.

Tags
claudeInteligência ArtificialSegurança e Privacidade
FacebookTwitterWhatsAppLinkedInEmailLink

Sorocaba Atual

Previous post OpenAI aposta em crescimento acelerado e estabelece meta de 30 GW até 2030
next post Reconhecimento facial em São Paulo: avanços tecnológicos enfrentam controvérsias e desafios
Related posts
  • Related posts
  • More from author
Tecnologia

Toy Story 5: especialista em tecnologia familiar revela como a inovação pode impulsionar o crescimento infantil

julho 16, 20260
Tecnologia

Empreendedor brasileiro atinge novo nível em um mercado em evolução

julho 16, 20260
Tecnologia

A ascensão das proteínas inovadoras na Europa, EUA e Ásia: a contribuição do Brasil nesse contexto

julho 16, 20260
Load more
Read also
Saúde

Maya Massafera exibe transformação após cirurgia de redução nas costas e revela ossos retirados

julho 16, 20260
Saúde

Otaviano Costa comemora nova etapa de vida dois anos após a cirurgia cardíaca: “Um renascimento

julho 16, 20260
Saúde

Ju Isen é hospitalizada após complicações com PMMA e emite aviso: “É uma bomba-relógio

julho 16, 20260
Esportes

Lázaro Ramos celebra em Buenos Aires após a emocionante vitória da Argentina sobre a Inglaterra

julho 16, 20260
Esportes

Príncipe William expressa tristeza pela saída da Inglaterra da Copa: “Estou devastado

julho 16, 20260
Esportes

CBF corta laços com empregados após revelação de despesas de Samir Xaud pelo Portal LeoDias

julho 16, 20260
Load more

Siga-nos

InstagramFollow us
Novidades
1

Opinião dividida sobre o início da Parte 3 da 4ª temporada de Dr. Stone

abril 2, 2026
2

Acusado de Golpe de R$ 100 Mil em Empresários é Preso Durante Operação no Piauí

setembro 12, 2024
3

Neymar fará parte da trilha sonora da Copa? Descubra os detalhes!

abril 9, 2026
4

Mel Fronckowiak, esposa de Santoro, cai e se assusta com resultado do diagnóstico, apesar de ignorar a dor.

abril 2, 2026
5

ABStartups celebra 15 anos e redefine sua estratégia em um ano crucial para o ecossistema de startups no Brasil

junho 4, 2026

Sorocaba © 2025.