Claude Code CVE-2026-39861: Escape de Sandbox via Symlink Following

Versões do Claude Code anteriores a 2.1.64 (pacote npm @anthropic-ai/claude-code) contêm uma vulnerabilidade de escape do sandbox rastreada como CVE-2026-39861. O problema: o sandbox não impedia que processos no sandbox criassem symlinks apontando para locais fora do workspace. Quando o processo não isolado do Claude Code posteriormente escrevia em um caminho dentro de tal symlink, ele seguia o link e escrevia no local de destino sem confirmação do usuário.
Como o exploit funciona
O ataque combina dois componentes: um comando no sandbox que cria um symlink apontando para fora do workspace, e o aplicativo não isolado subsequentemente escrevendo em um caminho que atravessa esse symlink. Nenhum dos componentes sozinho consegue escrever fora do workspace — é a combinação que permite escrita arbitrária de arquivos. Explorar isso de forma confiável requer injeção de prompt para acionar a execução de código no sandbox por meio de conteúdo não confiável na janela de contexto do Claude Code.
Impacto e CVSS
Classificada como Alta gravidade com pontuação base CVSS v4 de 7.7. O vetor de ataque é rede, a complexidade é baixa, nenhum privilégio necessário, interação passiva do usuário. Os impactos na confidencialidade, integridade e disponibilidade do sistema vulnerável são todos altos.
Versões afetadas e corrigidas
- Afetadas: todas as versões anteriores a 2.1.64
- Corrigida: versão 2.1.64 (lançada em 20 de abril de 2026)
Usuários com atualização automática padrão já receberam a correção automaticamente. Usuários que atualizam manualmente devem atualizar para a versão mais recente imediatamente.
O que fazer
Se você estiver usando o Claude Code, verifique sua versão com claude --version e atualize para ≥2.1.64 via npm update @anthropic-ai/claude-code -g ou o gerenciador de pacotes relevante. Esteja ciente também de que essa vulnerabilidade pode ser acionada por injeção de prompt — trate conteúdo de contexto não confiável com cuidado.
📖 Leia a fonte original: HN AI Agents
👀 See Also

Sunder: Um Firewall de Privacidade Local Baseado em Rust para LLMs
Sunder é uma extensão do Chrome que atua como um firewall de privacidade local para chats de IA, construída usando Rust e WebAssembly, garantindo que dados sensíveis nunca saiam do seu navegador.

Violação de Segurança da OpenClaw: 42.000 Instâncias Expostas
A OpenClaw sofreu uma falha de segurança significativa, expondo 42.000 instâncias com 341 habilidades maliciosas. A resposta rápida envolveu a criação do AgentVault, um proxy de segurança.

ClawSecure: Plataforma de Segurança para o Ecossistema OpenClaw com Auditoria de 3 Camadas e Monitoramento em Tempo Real
ClawSecure é uma plataforma de segurança dedicada para OpenClaw que realiza auditorias de segurança de 3 camadas, monitoramento em tempo real com rastreamento de hash SHA-256 a cada 12 horas e oferece cobertura completa OWASP ASI. Já auditou mais de 3.000 habilidades populares e é gratuito para usar sem necessidade de cadastro.

ThornGuard: Um Gateway Proxy para Proteger Conexões de Servidores MCP contra Injeção de Prompt
ThornGuard é um proxy que fica entre clientes MCP e servidores upstream, escaneando o tráfego em busca de padrões de injeção, removendo PII e registrando em um painel. Foi desenvolvido após testes revelarem vulnerabilidades em que servidores poderiam incorporar instruções ocultas em respostas de ferramentas.