Um alerta de segurança digital acendeu o sinal vermelho para programadores que utilizam o Claude Code. A ferramenta de inteligência artificial está salvando senhas, chaves de API e tokens de autenticação em arquivos locais que, por descuido, acabam sendo publicados na internet e ficando disponíveis para qualquer criminoso baixar.
O problema acontece quando o usuário seleciona a opção de ‘sempre permitir’ comandos no terminal. Essa ação cria um arquivo oculto na pasta do projeto que armazena os comandos usados em texto puro. Como muitos profissionais inserem senhas diretamente nessas linhas de comando, a informação fica guardada ali sem qualquer tipo de criptografia.
O risco maior surge na hora de enviar o trabalho para plataformas como o npm. Como o arquivo criado pela IA começa com um ponto, muitos sistemas de publicação não o ignoram automaticamente. Assim, o arquivo com todas as credenciais acaba subindo para a nuvem junto com o código do software.
Um levantamento da Check Point Software analisou mais de 46 mil pacotes de software e o resultado é preocupante: em cada 13 arquivos da ferramenta encontrados, um continha segredos de segurança ativos. Entre os dados expostos estavam chaves do GitHub e até tokens de acesso a bots do Telegram.
Especialistas reforçam que o erro é uma forma de ‘automação cega’, onde o desenvolvedor confia demais na tecnologia e esquece de revisar o que está sendo enviado. O vazamento é silencioso e pode comprometer sistemas inteiros de empresas se as senhas de produção forem capturadas por terceiros.
Para quem utiliza o Claude Code, a recomendação é imediata: adicione a pasta da ferramenta na lista de arquivos ignorados do seu projeto. Além disso, é essencial conferir o conteúdo do pacote antes de publicar e, caso já tenha enviado algo, trocar todas as senhas e chaves de acesso imediatamente.
