Os pesquisadores da Check Point Software identificaram uma vulnerabilidade que acende um alerta relevante para empresas que adotam inteligência artificial (IA) no desenvolvimento de software. De acordo com análise publicada pela companhia, assistentes de programação baseados em IA podem expor chaves de API e credenciais sensíveis de forma inadvertida durante o processo de criação e distribuição de código.
O problema foi observado no uso do Claude Code, onde um arquivo de configuração oculto pode incluir automaticamente informações sensíveis, como chaves de acesso, dentro de pacotes publicados em repositórios, especialmente no ecossistema npm. Na prática, isso significa que códigos disponibilizados para terceiros podem carregar, sem conhecimento do desenvolvedor, credenciais críticas embutidas.
Dados levantados pelos pesquisadores reforçam a dimensão do problema. Em aproximadamente 46.500 pacotes monitorados por eles durante a janela de varredura, 428 continham o arquivo [.]claude/settings[.]local[.]json. Desses, 33 arquivos distribuídos em 30 pacotes incluíam credenciais, indicando que cerca de um em cada 13 arquivos de configuração publicados continha algum tipo de informação sensível.
Segundo os pesquisadores, o risco é particularmente elevado porque o vazamento ocorre de forma silenciosa, sem sinais claros durante o desenvolvimento. Em ambientes corporativos, isso amplia a superfície de ataque e pode permitir o uso indevido de serviços, acesso a dados ou geração de custos inesperados.
Eles destacam que chaves de API funcionam como “senhas” para serviços digitais. Uma vez expostas, podem ser exploradas rapidamente por agentes maliciosos, levando desde uso indevido de infraestrutura até incidentes de segurança mais amplos.
“Arquivos como [.]npmignore e [.]gitignore existem por um motivo central, ou seja, evitar que segredos sejam distribuídos. O que essa análise mostra é que assistentes de programação com IA estão criando novas formas de esses segredos serem gerados, armazenados e expostos acidentalmente. Mesmo quando essas proteções são geradas por IA, o sistema ainda não consegue se proteger de si próprio. Para as organizações, a orientação é que não se deve presumir que mecanismos de proteção criados por IA estão corretos apenas porque parecem estar. Qualquer arquivo com função defensiva, como regras de exclusão ou configurações de segurança, precisa passar por validação humana para garantir que cumpra, de fato, o seu papel”, ressalta Steve Giguere, principal especialista em segurança de IA da Check Point Software.
O alerta reforça uma tendência mais ampla relacionada ao fato de que ferramentas de IA voltadas à produtividade estão acelerando o desenvolvimento de software, mas também introduzem novos vetores de risco que ainda não são plenamente compreendidos pelas empresas. Estudos recentes indicam que falhas em código gerado por IA já representam parcela significativa dos incidentes de segurança.
Na avaliação da Check Point, o episódio evidencia uma mudança estrutural no cenário de cibersegurança. O foco deixa de ser apenas vulnerabilidades tradicionais e passa a incluir comportamentos emergentes de sistemas baseados em IA, especialmente aqueles que operam de forma autônoma ou semiautônoma no ciclo de desenvolvimento.
A recomendação dos especialistas é que as organizações revisem seus processos, implementem controles adicionais e passem a tratar assistentes de IA como parte crítica da cadeia de segurança, e não apenas como ferramentas de produtividade.
