Voltar as noticias
O que significa 'Código que Executa Antes de Você Clicar em Confiar' para Ferramentas de Codificação de IA
MCP ProtocolMediaEN

O que significa 'Código que Executa Antes de Você Clicar em Confiar' para Ferramentas de Codificação de IA

Dev.to - MCP·12 de maio de 2026

O diálogo de confiança em uma ferramenta de codificação de IA deve ser a barreira de segurança que controla tudo o que o agente faz dentro de um espaço de trabalho. Pesquisadores de segurança externos publicaram recentemente um relatório técnico sobre caminhos de execução de código arbitrário no CLI do Claude Code da Anthropic que foram acionados antes que esse diálogo aparecesse. A Anthropic corrigiu os caminhos divulgados discretamente em dezembro de 2025; o relatório público foi publicado em 30 de abril de 2026.

Este artigo não é apenas sobre o Claude Code. É sobre a categoria mais ampla que essas descobertas nomeiam: qualquer operação que uma ferramenta de codificação de IA realiza durante a inicialização do espaço de trabalho, antes que o usuário confirme a confiança, é um candidato para a mesma classe de bug.

Como a Execução Pré-Confiável Acontece

Quando você abre um novo projeto em uma ferramenta de codificação de IA, a ferramenta normalmente faz várias coisas antes de mostrar o prompt de confiança:

  1. Lê arquivos de configuração do projeto (.editorconfig, .tool-config, .vscode/settings.json-estilo) para configurar a visualização do editor.
  2. Analisa manifestos de plugins ou extensões para determinar quais extensões ativar.
  3. Executa ganchos locais do projeto ou scripts de inicialização como parte da inicialização.
  4. Resolve manifestos de pacotes para configurar o servidor de linguagem.
  5. Invoca o Git para determinar o estado do repositório, branch, commits recentes.

Cada um desses passos é "seguro por convenção" quando iniciado por um usuário humano, na suposição de que o humano aplicou contexto implícito (eu confio neste espaço de trabalho) antes de abrir o projeto. Nenhum deles é seguro quando uma inicialização automatizada os realiza em um espaço de trabalho que o usuário ainda não ratificou.

As descobertas do Claude Code se enquadram nessa categoria. Arquivos de configuração com escopo de espaço de trabalho foram analisados de forma ansiosa; a análise desreferenciou referências que acionaram a execução; a execução aconteceu antes que o diálogo de confiança tivesse a chance de aparecer.

O Padrão Geral

A execução pré-confiável requer três ingredientes:

  1. Uma operação de inicialização que toca o estado controlado pelo espaço de trabalho. Lendo um arquivo de configuração, resolvendo um manifesto, executando um gancho, avaliando um script.
  2. Uma referência dentro desse estado que aciona a execução de código. Um caminho, uma referência de módulo, um script de gancho, um objeto serializado que é desserializado em código em execução.
  3. Sem barreira entre (1) e (2) na confiança confirmada pelo usuário.

Fechar o bug significa quebrar a cadeia em (3). Ou a inicialização não toca o estado controlado pelo espaço de trabalho até que a confiança seja confirmada, ou a análise desse estado é realizada em um ambiente isolado que não pode acionar a execução de código até que a confiança seja confirmada.

Como Auditar uma Ferramenta de Codificação de IA para Esta Classe de Bug

Se você opera ou constrói uma ferramenta de codificação de IA, as perguntas a serem feitas:

  1. Quais arquivos a ferramenta lê do espaço de trabalho antes de mostrar o prompt de confiança? Liste todos. Para cada um, pergunte: o conteúdo pode acionar a execução, diretamente ou por meio de desreferenciamento?
  2. Quais plugins ou extensões são ativados antes do prompt de confiança? Se algum manifesto de extensão for analisado, a lógica de análise em si está em escopo.
  3. Quais operações do Git a ferramenta realiza antes do prompt de confiança? Cada operação do Git é um potencial gatilho para qualquer .git/hooks/ script que o espaço de trabalho fornece.
  4. Qual inicialização do servidor de linguagem acontece antes do prompt de confiança? Servidores de linguagem frequentemente resolvem e carregam configurações específicas do espaço de trabalho que podem incluir caminhos arbitrários.
  5. O processo de atualização da própria ferramenta toca o estado controlado pelo espaço de trabalho durante a inicialização? Alguns mecanismos de autoatualização leem a configuração do espaço de trabalho para determinar o comportamento da atualização.

O Que os Usuários Podem Fazer

Para o Claude Code especificamente: assegure-se de que seu CLI esteja em uma versão datada após dezembro de 2025. A autoatualização está ativada por padrão; a maioria dos usuários está corrigida.

Para ferramentas de codificação de IA de forma mais ampla: fixe-se em versões recentes, audite cada ferramenta em sua frota para o que ela faz ao abrir o espaço de trabalho e trate a abertura de um repositório desconhecido como uma ação de alto risco, independentemente da presença do prompt de confiança.

Como o Armor1 Detecta Isso

O Catálogo de Clientes do Armor1 avalia clientes de codificação de IA em 16 categorias de risco. Duas são diretamente relevantes para caminhos de execução pré-confiáveis:

  1. Controles de Aprovação de Execução: mede se operações sensíveis requerem aprovação visível ao usuário antes da execução. Um cliente cuja inicialização executa configurações controladas pelo espaço de trabalho antes de um passo de aprovação visível ao usuário aparece no catálogo como uma postura de alto risco, independentemente de qualquer CVE específico.

  2. Ganchos de Script: mede se o cliente executa scripts de gancho de locais controlados pelo espaço de trabalho sem confirmação independente do usuário. A mesma característica estrutural que a recente pesquisa do Claude Code visou, avaliada como uma categoria e não como uma lista de bugs por bug.

Para frotas de desenvolvedores que executam várias ferramentas de codificação de IA, o Armor1 inventaria cada cliente em escopo e rastreia o mapeamento de versão para risco em toda a frota. Versões anteriores aos patches do Claude Code de dezembro de 2025 aparecem de forma diferente das versões posteriores.

Verifique o risco de qualquer servidor MCP em seu ambiente com o catálogo público gratuito do Armor1.

Para cobrir todos os aplicativos agentes, MCP, ferramentas, habilidades e plugins em sua pilha, inscreva-se gratuitamente Aqui.

Contexto Triplo Up

As descobertas sobre a execução pré-confiança em ferramentas de codificação de IA podem impactar empresas brasileiras que utilizam essas tecnologias. A segurança na execução de códigos é crucial para proteger dados e operações. Empresas devem auditar suas ferramentas para evitar riscos associados a essas vulnerabilidades.

Ver fonte original

Noticias relacionadas

LingTerm MCP — Deixe a IA Controlar Seu Terminal com Segurança
MCP ProtocolAlta

LingTerm MCP — Deixe a IA Controlar Seu Terminal com Segurança

Tutorial prático que ensina como permitir que assistentes de IA executem comandos de terminal de forma segura usando o LingTerm MCP.

Dev.to - MCP·12 de maio de 2026
EN
Converse com seu Firewall: Consulte OPNsense com ferramentas como Claude Code usando MCP
MCP ProtocolAlta

Converse com seu Firewall: Consulte OPNsense com ferramentas como Claude Code usando MCP

O artigo apresenta o opnsense-mcp, um servidor MCP que permite consultas em linguagem natural ao OPNsense, facilitando a gestão de redes sem a necessidade de terminal.

Dev.to - MCP·12 de maio de 2026
EN
Ferramentas MCP 2026: O Guia Completo do Protocolo de Contexto de Modelo para Agentes de IA
MCP ProtocolAlta

Ferramentas MCP 2026: O Guia Completo do Protocolo de Contexto de Modelo para Agentes de IA

O Protocolo de Contexto de Modelo (MCP) se tornou a base da integração de agentes de IA em 2026. Este guia abrange tudo sobre o MCP, incluindo servidores comunitários e integração com frameworks populares.

Dev.to - MCP·11 de maio de 2026
EN

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.