Claude Code CVE-2026-39861: Escape de Sandbox via Symlink Following

Versões do Claude Code anteriores a 2.1.64 (pacote npm @anthropic-ai/claude-code) contêm uma vulnerabilidade de escape do sandbox rastreada como CVE-2026-39861. O problema: o sandbox não impedia que processos no sandbox criassem symlinks apontando para locais fora do workspace. Quando o processo não isolado do Claude Code posteriormente escrevia em um caminho dentro de tal symlink, ele seguia o link e escrevia no local de destino sem confirmação do usuário.
Como o exploit funciona
O ataque combina dois componentes: um comando no sandbox que cria um symlink apontando para fora do workspace, e o aplicativo não isolado subsequentemente escrevendo em um caminho que atravessa esse symlink. Nenhum dos componentes sozinho consegue escrever fora do workspace — é a combinação que permite escrita arbitrária de arquivos. Explorar isso de forma confiável requer injeção de prompt para acionar a execução de código no sandbox por meio de conteúdo não confiável na janela de contexto do Claude Code.
Impacto e CVSS
Classificada como Alta gravidade com pontuação base CVSS v4 de 7.7. O vetor de ataque é rede, a complexidade é baixa, nenhum privilégio necessário, interação passiva do usuário. Os impactos na confidencialidade, integridade e disponibilidade do sistema vulnerável são todos altos.
Versões afetadas e corrigidas
- Afetadas: todas as versões anteriores a 2.1.64
- Corrigida: versão 2.1.64 (lançada em 20 de abril de 2026)
Usuários com atualização automática padrão já receberam a correção automaticamente. Usuários que atualizam manualmente devem atualizar para a versão mais recente imediatamente.
O que fazer
Se você estiver usando o Claude Code, verifique sua versão com claude --version e atualize para ≥2.1.64 via npm update @anthropic-ai/claude-code -g ou o gerenciador de pacotes relevante. Esteja ciente também de que essa vulnerabilidade pode ser acionada por injeção de prompt — trate conteúdo de contexto não confiável com cuidado.
📖 Leia a fonte original: HN AI Agents
👀 See Also

ClawGuard: Gateway de Segurança de Código Aberto para Proteção de Credenciais da API OpenClaw
ClawGuard é um gateway de segurança que fica entre agentes de IA e APIs externas, usando credenciais fictícias na máquina do agente enquanto armazena tokens reais separadamente. Ele fornece aprovação via Telegram para chamadas sensíveis e mantém um registro de auditoria de solicitações.

Usuário do Reddit relata persistência da VM OpenClaw e atividade suspeita
Um usuário do Reddit relata que sua máquina virtual OpenClaw reinicia automaticamente após ser fechada e exibe comportamento suspeito, incluindo abrir a Microsoft Store e tentar baixar arquivos questionáveis.

Prevenindo a Participação de Agentes de IA em Botnets: Considerações de Segurança
A comunidade discute como proteger agentes de IA autônomos contra sequestro ou uso em botnets maliciosas.

Avaliação da AISI Mostra as Capacidades Cibernéticas da Prévia do Claude Mythos em CTF e Ataques de Múltiplas Etapas
O Instituto de Segurança de IA avaliou a versão prévia do Claude Mythos da Anthropic, constatando que ele completou com sucesso 73% dos desafios de capturar a bandeira de nível especialista e resolveu uma simulação de ataque a uma rede corporativa de 32 etapas em 3 de 10 tentativas.