Pesquisadores da Pentera Labs demonstraram um ataque que transforma o Claude Desktop — o aplicativo de inteligência artificial da Anthropic — em um agente de comando e controle operado por invasores, sem phishing, sem malware tradicional e sem que a vítima perceba. A técnica injeta instruções maliciosas no campo de “Preferências Pessoais” sincronizado entre dispositivos e, quando a vítima abre o assistente, ele passa a executar comandos em segundo plano. A Anthropic foi avisada em novembro de 2025, reconheceu o risco, mas classificou o comportamento como “funcionalidade esperada”, não vulnerabilidade.
Pontos-chave
- O que é: ataque de prompt injection no campo sincronizado de Preferências Pessoais do Claude Desktop, que converte o assistente em canal de execução remota de código (RCE).
- Como entra: a partir de uma caixa de e-mail comprometida, o atacante assume a conta Claude via magic link e injeta o payload no perfil sincronizado.
- O truque: se não há extensão de comandos instalada, o próprio Claude exibe um erro falso persuadindo o usuário a instalar o “Desktop Commander”.
- Impacto: em máquinas de desenvolvedores, rouba chaves SSH, credenciais de nuvem (AWS, gcloud), kubeconfigs e tokens de CI/CD.
- Resposta da Anthropic: trata preferências, skills e conectores MCP como recursos projetados para executar código — não vulnerabilidade em seu modelo de ameaça atual.
O ataque começa no e-mail
O ponto de partida não é o Claude — é uma caixa de e-mail. Conforme o relatório exclusivo publicado pelo The Register, a equipe de red team da Pentera — liderada por Dvir Avraham e pelo técnico Reef Spektor — começou comprometendo uma plataforma terceirizada que agrega inúmeras caixas de correio numa única interface de gestão. Ao explorar uma falha no fluxo de autenticação dessa plataforma, os atacantes obtêm acesso a milhares de contas de e-mail reais e, a partir daí, fazem pivô para os serviços associados às vítimas — incluindo as contas Claude, por meio de magic links ou redefinição de senha.
“Reconhecemos a enorme confiança depositada nos modelos de IA — todo mundo os usa”, disse Avraham ao The Register. “Usamos essa confiança para manipular a vítima, por baixo dos panos, sem que ela visse nada chegando.” O pesquisador admitiu ter ficado paranoico com a própria descoberta: “Não permito mais que nenhum comando execute sem que eu o examine duas vezes.”
O campo que espalha o veneno
Com a conta Claude comprometida, o alvo dos atacantes é o campo de Preferências Pessoais — um prompt configurável pelo usuário que define instruções de comportamento, como tom de voz, fluxos de trabalho e orientações personalizadas. O detalhe crítico é que esse campo é sincronizado automaticamente em todos os dispositivos e sessões vinculados à conta, incluindo o aplicativo Claude Desktop para macOS, Windows e Linux.
Os pesquisadores criaram um payload de prompt injection codificado que embute lógica para enumerar ferramentas, executar comandos e estabelecer comportamentos de contingência. Injetado no campo de Preferências pela sessão web comprometida, ele aparece como um blob opaco — não como instruções maliciosas em texto claro —, o que dificulta a detecção por revisão humana ou auditorias automatizadas, conforme detalhado pelo GBHackers. Quando a vítima abre o Claude Desktop, o payload carrega silenciosamente e começa a trabalhar.
Claude vira a isca do golpe
O primeiro passo do payload é enumerar extensões instaladas, integrações com o Management Control Plane (MCP) e outros componentes capazes de executar comandos. Se uma extensão de execução local — como o Desktop Commander — já estiver presente, a lógica injetada instrui o Claude a executar essa ferramenta em segundo plano enquanto continua respondendo normalmente às perguntas visíveis do usuário. Isso permite rodar comandos de shell controlados pelo atacante: inspecionar o ambiente, listar diretórios e enviar requisições curl para um servidor remoto.
O cenário mais engenhoso ocorre quando não há extensão de comandos instalada. Conforme a Cyber Security News, o prompt injetado muda para o modo de engenharia social: ele instrui o Claude a exibir uma mensagem de erro realista, completa com código de erro, link e instruções passo a passo, que persuadem o usuário a instalar uma extensão específica — o Desktop Commander — sob o pretexto de resolver o “problema”. Como a mensagem aparenta vir de um assistente confiável numa interface familiar, a taxa de obediência tende a ser alta. É o próprio Claude funcionando como camada de phishing.
O que os atacantes conseguem roubar
O impacto varia conforme o perfil do alvo. Em estações de trabalho de desenvolvedores e profissionais de DevOps, os atacantes conseguem colher chaves SSH dos diretórios home, extrair credenciais de nuvem de caminhos de configuração (perfis da AWS e do gcloud), acessar arquivos kubeconfig, tokens de CI/CD e repositórios locais de código-fonte — abrindo caminho para movimento lateral em infraestruturas de produção e serviços internos.
Em máquinas não técnicas, os atacantes sequestram sessões de navegador, extraem senhas salvas, acessam documentos internos e se passam pelo usuário em plataformas de colaboração, usando o assistente comprometido simultaneamente como camada de execução e canal de engenharia social dentro da organização. O resultado, segundo a Pentera, é um loop de comando e controle persistente: cada interação do usuário com o Claude pode acionar a busca e execução de novos payloads Bash a partir da infraestrutura do atacante.
A Anthropic não vê vulnerabilidade
A Pentera divulgou os achados à Anthropic em novembro de 2025. A empresa reconheceu a pesquisa, mas recusou classificá-la como vulnerabilidade de segurança. Em comunicado, afirmou que “preferências pessoais, skills e conectores MCP” são recursos projetados para executar código por meio do Claude Desktop por intenção — e descreveu o comportamento como “funcionalidade esperada, não vulnerabilidade de segurança”. A Anthropic indicou que aprimoramentos relacionados estão em seu roteiro e apontou controles existentes de gestão de sessão e autenticação de conta como mitigação, enfatizando que o ataque exige comprometimento prévio da conta.
O caso não é isolado. A Cyber Security News observa que a LayerX havia divulgado anteriormente uma RCE sem clique afetando as Extensões do Claude Desktop (DXT), disparada por um evento de calendário maliciosamente redigido e avaliada em CVSS 10. A Koi Security encontrou falhas de injeção de comando não sanitizada nos próprios conectores de Chrome, iMessage e Apple Notes da Anthropic — avaliadas em CVSS 8,9 e já corrigidas. Em conjunto, esses achados apontam para um padrão sistêmico: extensões locais com capacidade de executar código, combinadas com confiança em linguagem natural, criam uma superfície de ataque ampla — problema que também aparece no estudo GuardFall sobre agentes de IA que executam código sem proteção e no ataque BioShocking, em que a IA do navegador rouba senhas sem aviso.
Como reduzir o risco
Se a Anthropic trata a execução de código por meio de preferências e conectores como funcionalidade, a defesa passa a ser responsabilidade de quem usa a ferramenta. As recomendações práticas dos pesquisadores são claras:
- Trate aplicativos de IA como software privilegiado: o Claude Desktop pode executar código e tocar arquivos locais — gerencie-o com o mesmo rigor de uma ferramenta administrativa, não como um chat inofensivo. Ferramentas como o Pipelock, um firewall que isola agentes de IA da rede, mostram como essa abordagem começa a tomar forma.
- Proteja o acesso à conta: ative autenticação multifator na conta Claude e na caixa de e-mail associada. O ataque inteiro depende do comprometimento inicial do e-mail.
- Audite preferências sincronizadas: monitore alterações não autorizadas nas configurações sincronizadas do assistente. Um blob opaco em Preferências Pessoais é sinal de alerta.
- Restrinja extensões: limite quais extensões e conectores MCP podem ser pareados com clientes de IA. O Desktop Commander, em particular, é a porta para execução de shell.
- Examine comandos antes de aprovar: nunca aprove execução automática sem revisar. Como o próprio Avraham passou a fazer: examine cada comando duas vezes.
Referências
- The Register — Red teamers turned Claude Desktop into a double agent
- GBHackers — Claude AI Prompt Injection Attack Turns Chatbot Into Stealthy C2 Agent
- Cyber Security News — AI Double Agent Attack Turns Claude Desktop to Execute Remote Code
- Cyber Press — Attackers Can Abuse Claude Desktop to Execute Commands
- Pentera — Plataforma de validação de exposição e pesquisa de segurança