Claude Code v2.1.150 adiciona injeção remota de prompt no sistema via rede

O Claude Code v2.1.150 introduz um mecanismo que busca prompts de sistema nos servidores da Anthropic na inicialização e a cada 60 segundos através de uma flag de feature do GrowthBook, efetivamente permitindo injeção remota de prompts. A mudança, descrita no changelog como "Melhorias internas de infraestrutura (sem alterações visíveis ao usuário)", adiciona duas fontes de dados que injetam strings arbitrárias no prompt de sistema do LLM com acesso ao shell.

Como Funciona

• Endpoint de bootstrap: Na inicialização, o Claude Code chama api.anthropic.com/api/claude_cli/bootstrap e armazena a resposta em cache no disco.
• Flag de feature do GrowthBook: A flag tengu_heron_brook é atualizada a cada 60 segundos via uma sincronização em segundo plano. Qualquer string retornada por esses endpoints é injetada no prompt de sistema.

Em versões anteriores, o ponto de injeção existia, mas era código morto retornando nulo. No v2.1.150, a requisição de rede foi ativada na função n0A, e a flag é registrada via Rv("heron_brook", () => nAA()). A função nAA lê o valor em cache do disco.

Bloqueando a Injeção

Usuários que modificam seus prompts de sistema (por exemplo, via ferramentas como tweakcc) podem bloquear a injeção remota com variáveis de ambiente:

export CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1
export DISABLE_GROWTHBOOK=1

Comandos de Verificação (Linux x64)

npm pack @anthropic-ai/[email protected] --pack-destination /tmp
tar xzf /tmp/anthropic-ai-claude-code-linux-x64-2.1.150.tgz
strings package/claude | grep -oP 'function nAA\(\)\{[^}]+\}'
strings package/claude | grep -oP '.{0,60}heron_brook.{0,60}'

Os nomes das funções minificadas são específicos deste binário.

Quem é Afetado

Qualquer pessoa executando o Claude Code v2.1.150 que depende de modificação local de prompts (por exemplo, usuários avançados, desenvolvedores preocupados com segurança) ou queira garantir que não haja mudanças comportamentais remotas sem consentimento.