Uma empresa israelense de cibersegurança chamada LayerX revelou recentemente uma falha crítica envolvendo o Claude Desktop Extensions, atualmente conhecido como MCP Bundles. O problema é considerado extremamente grave: segundo os pesquisadores, a vulnerabilidade permite execução remota de código sem qualquer interação do usuário, o chamado ataque de “zero clique”. No padrão internacional de avaliação de riscos (CVSS), o impacto recebeu a nota máxima: 10/10.
Como funciona a vulnerabilidade
O ponto central da falha está na forma como o Claude processa automaticamente informações vindas de conectores externos, como o Google Agenda. Nesse cenário, um invasor precisa apenas enviar um convite de calendário contendo instruções maliciosas ocultas.
Quando o usuário pede para o Claude analisar ou organizar sua agenda, o modelo de IA pode, de forma autônoma, decidir acionar um plugin que tenha permissões para executar comandos no sistema. Sem mecanismos de proteção robustos contra esse tipo de abuso, o código malicioso pode ser baixado, compilado e executado localmente, tudo isso sem qualquer confirmação explícita do usuário.
Um problema de segurança estrutural
Especialistas explicam que esse tipo de ataque se encaixa na categoria de injeção indireta de prompt, uma técnica cada vez mais sofisticada, que explora a confiança da IA em dados externos aparentemente legítimos. Mesmo com a promessa de execução em sandbox, o modelo atual de permissões não consegue impedir que ferramentas de alto privilégio sejam acionadas indevidamente.
A resposta da Anthropic
A Anthropic, empresa responsável pelo Claude, declarou que não pretende corrigir a vulnerabilidade no momento. Segundo a companhia, os MCP Bundles foram pensados como ferramentas locais para desenvolvedores, e a responsabilidade pela segurança recairia sobre o próprio usuário, que escolhe quais plugins instalar e quais permissões conceder.
No entanto, especialistas em segurança discordam dessa posição. Eles argumentam que, quando um sistema de IA toma decisões autônomas sobre o uso de ferramentas com alto nível de acesso, o risco deixa de ser apenas “má configuração do usuário” e passa a ser uma falha de design.
Por que isso importa
Esse caso acende um alerta importante sobre o uso de IA integrada a sistemas locais e dados sensíveis. À medida que assistentes inteligentes ganham mais autonomia e acesso a ferramentas poderosas, falhas desse tipo podem se tornar portas de entrada silenciosas para ataques altamente destrutivos.
Para usuários e empresas, a recomendação é clara:
- Revisar com extremo cuidado quais plugins estão instalados
- Limitar permissões ao mínimo necessário
- Evitar automatizações que permitam execução de código sem validação humana
A revolução da IA continua avançando, mas esse episódio mostra que segurança precisa evoluir no mesmo ritmo — caso contrário, a conveniência pode sair muito cara.