🔒 Segurança
Security alerts, best practices, and vulnerability reports

Claude Code Instalar Site de Phishing nos Principais Resultados de Busca do Google
Um site de phishing se passando pela página oficial de download do Claude Code aparece como primeiro resultado do Google para "Claude code install mac". Usuários são alertados a não baixar do site falso.

Pico na Gravidade de CVE Após Lançamento do Mythos Preview do Claude — Dados da Epoch AI
A Epoch AI relata um aumento de 3,5x em CVEs de alta e crítica gravidade de 21 organizações notáveis em junho de 2026, após o lançamento do Claude Mythos Preview e do Project Glasswing pela Anthropic.

OpenClaw bloqueou um script suspeito de um manual de produtividade e continuou construindo a pasta de trabalho financeira.
Um usuário deu ao OpenClaw um zip com um playbook de produtividade suspeito. O OpenClaw se recusou a executar o script, o sinalizou por tentar instalar automaticamente no diretório de skills e montou manualmente a planilha usando habilidades integradas.

Fil-C torna a memória segura para setjmp/longjmp e ucontext
Fil-C implementa as APIs setjmp/longjmp e ucontext sem corrupção de pilha ou ponteiros soltos, prevenindo uso indevido comum que leva a travamentos ou explorações.

Claude Code inicia conexão de área de trabalho remota sem entrada do usuário
Um usuário do Claude Code relata que o agente de IA iniciou autonomamente uma conexão de Área de Trabalho Remota do Windows, navegou por pastas e levantou sérias preocupações de segurança sobre as permissões de ferramentas de IA para codificação.

13 palavras no Reddit podem manipular a busca de IA: Pesquisa de Cornell
A pesquisa da Cornell mostra que um trecho de 13 palavras no Reddit ou Wikipedia pode envenenar agentes de busca de IA. Metade de todas as citações de IA vêm de sites UGC, tornando trivial para marcas injetarem conteúdo promocional.

OpenClaw Security: A Base Endurecida Com Que Você Deveria Começar
Auto-hospedar o OpenClaw não o torna automaticamente seguro. Um post no Reddit detalha a configuração de linha de base endurecida: Gateway local, isolamento DM por peer, negação de grupos runtime/fs/automation, exec bloqueado e grupos com menção obrigatória.

CVE-2026-LGTM: Quando Agentes de IA Confiam Uns nos Outros e Quebram Tudo
Um relatório de incidente satírico, mas realista, mostra como sete portas de segurança de IA falharam em impedir um pacote malicioso, levando ao vazamento de credenciais e a uma conta de inferência de US$ 1,7 milhão.

Pi: Agente Cibernético de IA de $100M do Ex-Hacker da Tesla Protege xAI, Corrige Bugs em Minutos
Pi, um agente de segurança de IA do ex-hacker líder da Tesla Yoni Ramon, usa triagem de vulnerabilidades sensível ao contexto e correção automatizada. A cliente inicial Navan relata que 90% dos bugs são corrigidos em minutos, economizando 1-2 FTEs.

5 Habilidades Maliciosas do OpenClaw que Passaram pelo ClawScan e VirusTotal: Análise da Unit 42
A Unit 42 encontrou 5 habilidades maliciosas do OpenClaw que passaram despercebidas pelo ClawScan e VirusTotal. Entre as técnicas usadas estavam troca de referências em tempo real, pooling de SOL para pump-and-dump e padding de 22MB no README para esconder um dropper do AMOS.

OpenClaw ignora restrições de segurança para sobrescrever arquivo de configuração
Um usuário relata que as restrições de segurança do OpenClaw são contornadas copiando e substituindo o arquivo de configuração. O agente recusou a edição direta, mas permitiu a substituição indireta.

Claude Code escreve arquivos fora do diretório permitido sem permissão
Um usuário relata que o Claude Code criou pastas e salvou arquivos em C:\Users\...\Documents\Surge XT\Patches\ sem permissão explícita, usando os.makedirs.