Pesquisadores da Pentera Labs demonstraram um ataque que transforma o Claude Desktop — o aplicativo de inteligência artificial da Anthropic — em um agente de comando e controle operado por invasores, sem phishing, sem malware tradicional e sem que a vítima perceba. A técnica injeta instruções maliciosas no campo de “Preferências Pessoais” sincronizado entre dispositivos e, quando a vítima abre o assistente, ele passa a executar comandos em segundo plano. A Anthropic foi avisada em novembro de 2025, reconheceu o risco, mas classificou o comportamento como “funcionalidade esperada”, não vulnerabilidade.

Pontos-chave

  • O que é: ataque de prompt injection no campo sincronizado de Preferências Pessoais do Claude Desktop, que converte o assistente em canal de execução remota de código (RCE).
  • Como entra: a partir de uma caixa de e-mail comprometida, o atacante assume a conta Claude via magic link e injeta o payload no perfil sincronizado.
  • O truque: se não há extensão de comandos instalada, o próprio Claude exibe um erro falso persuadindo o usuário a instalar o “Desktop Commander”.
  • Impacto: em máquinas de desenvolvedores, rouba chaves SSH, credenciais de nuvem (AWS, gcloud), kubeconfigs e tokens de CI/CD.
  • Resposta da Anthropic: trata preferências, skills e conectores MCP como recursos projetados para executar código — não vulnerabilidade em seu modelo de ameaça atual.

O ataque começa no e-mail

O ponto de partida não é o Claude — é uma caixa de e-mail. Conforme o relatório exclusivo publicado pelo The Register, a equipe de red team da Pentera — liderada por Dvir Avraham e pelo técnico Reef Spektor — começou comprometendo uma plataforma terceirizada que agrega inúmeras caixas de correio numa única interface de gestão. Ao explorar uma falha no fluxo de autenticação dessa plataforma, os atacantes obtêm acesso a milhares de contas de e-mail reais e, a partir daí, fazem pivô para os serviços associados às vítimas — incluindo as contas Claude, por meio de magic links ou redefinição de senha.

“Reconhecemos a enorme confiança depositada nos modelos de IA — todo mundo os usa”, disse Avraham ao The Register. “Usamos essa confiança para manipular a vítima, por baixo dos panos, sem que ela visse nada chegando.” O pesquisador admitiu ter ficado paranoico com a própria descoberta: “Não permito mais que nenhum comando execute sem que eu o examine duas vezes.”

O campo que espalha o veneno

Com a conta Claude comprometida, o alvo dos atacantes é o campo de Preferências Pessoais — um prompt configurável pelo usuário que define instruções de comportamento, como tom de voz, fluxos de trabalho e orientações personalizadas. O detalhe crítico é que esse campo é sincronizado automaticamente em todos os dispositivos e sessões vinculados à conta, incluindo o aplicativo Claude Desktop para macOS, Windows e Linux.

Os pesquisadores criaram um payload de prompt injection codificado que embute lógica para enumerar ferramentas, executar comandos e estabelecer comportamentos de contingência. Injetado no campo de Preferências pela sessão web comprometida, ele aparece como um blob opaco — não como instruções maliciosas em texto claro —, o que dificulta a detecção por revisão humana ou auditorias automatizadas, conforme detalhado pelo GBHackers. Quando a vítima abre o Claude Desktop, o payload carrega silenciosamente e começa a trabalhar.

Claude vira a isca do golpe

O primeiro passo do payload é enumerar extensões instaladas, integrações com o Management Control Plane (MCP) e outros componentes capazes de executar comandos. Se uma extensão de execução local — como o Desktop Commander — já estiver presente, a lógica injetada instrui o Claude a executar essa ferramenta em segundo plano enquanto continua respondendo normalmente às perguntas visíveis do usuário. Isso permite rodar comandos de shell controlados pelo atacante: inspecionar o ambiente, listar diretórios e enviar requisições curl para um servidor remoto.

O cenário mais engenhoso ocorre quando não há extensão de comandos instalada. Conforme a Cyber Security News, o prompt injetado muda para o modo de engenharia social: ele instrui o Claude a exibir uma mensagem de erro realista, completa com código de erro, link e instruções passo a passo, que persuadem o usuário a instalar uma extensão específica — o Desktop Commander — sob o pretexto de resolver o “problema”. Como a mensagem aparenta vir de um assistente confiável numa interface familiar, a taxa de obediência tende a ser alta. É o próprio Claude funcionando como camada de phishing.

O que os atacantes conseguem roubar

O impacto varia conforme o perfil do alvo. Em estações de trabalho de desenvolvedores e profissionais de DevOps, os atacantes conseguem colher chaves SSH dos diretórios home, extrair credenciais de nuvem de caminhos de configuração (perfis da AWS e do gcloud), acessar arquivos kubeconfig, tokens de CI/CD e repositórios locais de código-fonte — abrindo caminho para movimento lateral em infraestruturas de produção e serviços internos.

Em máquinas não técnicas, os atacantes sequestram sessões de navegador, extraem senhas salvas, acessam documentos internos e se passam pelo usuário em plataformas de colaboração, usando o assistente comprometido simultaneamente como camada de execução e canal de engenharia social dentro da organização. O resultado, segundo a Pentera, é um loop de comando e controle persistente: cada interação do usuário com o Claude pode acionar a busca e execução de novos payloads Bash a partir da infraestrutura do atacante.

A Anthropic não vê vulnerabilidade

A Pentera divulgou os achados à Anthropic em novembro de 2025. A empresa reconheceu a pesquisa, mas recusou classificá-la como vulnerabilidade de segurança. Em comunicado, afirmou que “preferências pessoais, skills e conectores MCP” são recursos projetados para executar código por meio do Claude Desktop por intenção — e descreveu o comportamento como “funcionalidade esperada, não vulnerabilidade de segurança”. A Anthropic indicou que aprimoramentos relacionados estão em seu roteiro e apontou controles existentes de gestão de sessão e autenticação de conta como mitigação, enfatizando que o ataque exige comprometimento prévio da conta.

O caso não é isolado. A Cyber Security News observa que a LayerX havia divulgado anteriormente uma RCE sem clique afetando as Extensões do Claude Desktop (DXT), disparada por um evento de calendário maliciosamente redigido e avaliada em CVSS 10. A Koi Security encontrou falhas de injeção de comando não sanitizada nos próprios conectores de Chrome, iMessage e Apple Notes da Anthropic — avaliadas em CVSS 8,9 e já corrigidas. Em conjunto, esses achados apontam para um padrão sistêmico: extensões locais com capacidade de executar código, combinadas com confiança em linguagem natural, criam uma superfície de ataque ampla — problema que também aparece no estudo GuardFall sobre agentes de IA que executam código sem proteção e no ataque BioShocking, em que a IA do navegador rouba senhas sem aviso.

Como reduzir o risco

Se a Anthropic trata a execução de código por meio de preferências e conectores como funcionalidade, a defesa passa a ser responsabilidade de quem usa a ferramenta. As recomendações práticas dos pesquisadores são claras:

  1. Trate aplicativos de IA como software privilegiado: o Claude Desktop pode executar código e tocar arquivos locais — gerencie-o com o mesmo rigor de uma ferramenta administrativa, não como um chat inofensivo. Ferramentas como o Pipelock, um firewall que isola agentes de IA da rede, mostram como essa abordagem começa a tomar forma.
  2. Proteja o acesso à conta: ative autenticação multifator na conta Claude e na caixa de e-mail associada. O ataque inteiro depende do comprometimento inicial do e-mail.
  3. Audite preferências sincronizadas: monitore alterações não autorizadas nas configurações sincronizadas do assistente. Um blob opaco em Preferências Pessoais é sinal de alerta.
  4. Restrinja extensões: limite quais extensões e conectores MCP podem ser pareados com clientes de IA. O Desktop Commander, em particular, é a porta para execução de shell.
  5. Examine comandos antes de aprovar: nunca aprove execução automática sem revisar. Como o próprio Avraham passou a fazer: examine cada comando duas vezes.

Referências