Aviso de Segurança do Código Claude: CVE-2026-33068 Bypass de Confiança do Workspace

✍️ OpenClawRadar📅 Publicado: March 20, 2026🔗 Source
Aviso de Segurança do Código Claude: CVE-2026-33068 Bypass de Confiança do Workspace
Ad

Vulnerabilidade de Segurança no Claude Code

Um aviso de segurança foi emitido para usuários do Claude Code referente ao CVE-2026-33068, uma vulnerabilidade com pontuação CVSS 7.7 (ALTA). O problema afeta versões do Claude Code anteriores à 2.1.53.

Detalhes Técnicos

A vulnerabilidade permite que repositórios maliciosos contornem a caixa de diálogo de confirmação de confiança do espaço de trabalho. O Claude Code inclui um recurso legítimo chamado bypassPermissions em .claude/settings.json que permite aos usuários pré-aprovar operações específicas em espaços de trabalho confiáveis.

O bug estava na ordem das operações: as configurações do .claude/settings.json do repositório eram carregadas antes que a caixa de diálogo de confiança do espaço de trabalho fosse mostrada ao usuário. Isso significa que um repositório clonado poderia incluir um arquivo de configurações que concede a si mesmo permissões elevadas antes que o usuário tenha a chance de revisá-lo.

Nuance importante: bypassPermissions é um recurso documentado e intencional. A vulnerabilidade não está no recurso em si, mas na sequência de carregamento.

Ad

O que os Usuários Devem Fazer

  • Execute claude --version para confirmar que você está na versão 2.1.53 ou posterior
  • Antes de abrir qualquer repositório desconhecido com o Claude Code, verifique se ele contém um arquivo .claude/settings.json e revise seu conteúdo
  • Se você esteve trabalhando com repositórios de fontes não confiáveis em versões anteriores, considere se alguma operação inesperada foi realizada

Correção

A Anthropic corrigiu esta vulnerabilidade na versão 2.1.53 reordenando a sequência de carregamento. O aviso completo com detalhes técnicos está disponível em https://raxe.ai/labs/advisories/RAXE-2026-040.

📖 Read the full source: r/ClaudeAI

Ad

👀 See Also

Clawvisor: Camada de Autorização Baseada em Propósito para Agentes OpenClaw
Security

Clawvisor: Camada de Autorização Baseada em Propósito para Agentes OpenClaw

Clawvisor é uma camada de autorização que fica entre agentes de IA e APIs, aplicando autorização baseada em propósito, onde os agentes declaram intenções, os usuários aprovam propósitos específicos e um guardião de IA verifica cada solicitação em relação a esse propósito. As credenciais nunca saem do Clawvisor e os agentes nunca as veem.

OpenClawRadar
A Anthropic revela extração de dados em escala industrial da IA Claude por laboratórios chineses
Security

A Anthropic revela extração de dados em escala industrial da IA Claude por laboratórios chineses

A Anthropic confirmou que laboratórios chineses de IA usaram mais de 24.000 contas fraudulentas para extrair 16 milhões de trocas do Claude, obtendo proteções de segurança e estruturas lógicas para sistemas militares e de vigilância.

OpenClawRadar
Bloqueio Essencial de Arquivos para Assistentes de Codificação de IA: Uma Lista de Verificação Prática de Segurança
Security

Bloqueio Essencial de Arquivos para Assistentes de Codificação de IA: Uma Lista de Verificação Prática de Segurança

Assistentes de codificação com IA apresentam um novo desafio de segurança: eles leem diretamente do seu sistema de arquivos local, não apenas do seu repositório controlado por versão. Isso significa que arquivos protegidos pelo .gitignore de serem enviados para o GitHub permanecem acessíveis ao agente em execução na sua máquina.

OpenClawRadar
Analisador de Habilidades Agora Disponível no ClawHub com Instalação por Um Comando
Security

Analisador de Habilidades Agora Disponível no ClawHub com Instalação por Um Comando

O scanner de segurança OpenClaw Skill Analyzer já está disponível no ClawHub com instalação por um único comando. A ferramenta analisa pastas de habilidades em busca de padrões maliciosos como injeção de prompt e roubo de credenciais, e inclui suporte a sandbox Docker para execução segura.

OpenClawRadar