Claude Code — menor privilégio e permissões
O Claude Code roda com os privilégios do seu usuário e pode executar comandos. Aplique o princípio do menor privilégio em todo uso:
- Rode-o a partir da pasta menor possível — ele só escreve na pasta inicial e subpastas, então abrir a partir de
~/projetos/app-xé muito mais seguro do que a partir de~. - Configure permissões em três níveis:
allow(operações seguras),ask(precisam de aprovação),deny(bloqueadas). - Revise cada MCP (integração externa) antes de instalar — eles rodam com seus privilégios (ver tópico 2).
- Nunca use
--dangerously-skip-permissionsna máquina principal. Esse modo só faz sentido em ambiente isolado (container, VM descartável). - Trate repositórios desconhecidos como entrada não confiável: clonar e abrir um repositório malicioso no Claude Code já foi suficiente para executar comandos e exfiltrar a chave da API (CVE-2025-59536).
{
"permissions": {
"allow": [
"Bash(npm test)",
"Bash(npm run lint)",
"Read(./**)"
],
"ask": [
"Bash(git push)",
"Bash(docker *)"
],
"deny": [
"Bash(rm -rf *)",
"Bash(curl *)",
"WebFetch",
"Read(./.env*)"
]
}
}Ajuste à realidade de cada projeto. Mais detalhes na documentação oficial do Claude Code.
MCP — instalação, escopo e remoção
MCPs e extensões do Claude Desktop rodam sem sandbox e com os privilégios do seu usuário. Instalar um MCP é executar código de terceiros na máquina — trate com o mesmo rigor de qualquer dependência.
Riscos a controlar
- Privilégios amplos: muitos MCPs pedem mais permissão do que precisam (acesso total ao Gmail em vez de uma única label).
- Sem sandbox: se for malicioso, pode ler arquivos, executar comandos e acessar APIs em seu nome.
- Prompt injection indireta: a IA processa dados externos (e-mail, evento de calendário, página, issue) como se fossem instruções. Foi o caso do RCE zero-click no Claude Desktop via Google Calendar (CVSS 10/10).
- Credenciais centralizadas: o MCP guarda tokens de vários serviços — se comprometido, vários serviços vazam juntos.
- Cadeia de suprimentos: o caso Nx Console mirou especificamente arquivos de configuração do Claude Code.
- Instale só de fonte confiável — repositório oficial do mantenedor, código aberto auditável, documentação séria.
- Conceda o escopo mínimo ao autorizar. Se pede acesso total ao Drive e só precisa de uma pasta, recuse.
- Mantenha lista de MCPs ativos — revise mensalmente, remova o que não usa.
- Trate todo conteúdo externo que o MCP traz como entrada não confiável.
- Teste MCPs novos em dev container ou VM antes de habilitar na máquina principal.
No Claude Code, os MCPs configurados ficam em ~/.claude.json (escopo de usuário) ou em .mcp.json dentro do projeto. Liste com claude mcp list e remova com claude mcp remove <nome>. No Claude Desktop, as extensões aparecem em Settings → Developer → Edit Config (arquivo claude_desktop_config.json).
Documentação oficial: modelcontextprotocol.io. Análise de riscos: Red Hat, Palo Alto Networks.
Extensões de editor de código (VS Code, JetBrains)
Extensões de IDE podem ler todo arquivo aberto e cada modificação. Já houve campanhas com milhões de instalações enviando código para servidores externos (ex.: as extensões falsas "ChatGPT - 中文版" e "ChatMoss" no VS Code).
- Verifique autoria, número de instalações antigas (não recentes — podem ser infladas), repositório aberto e histórico de releases.
- Desconfie de nomes que imitam ferramentas conhecidas ("ChatGPT for VSCode" sem ser da OpenAI, etc.).
- Evite marketplaces alternativos não oficiais.
- Use dev containers ao testar extensões novas.
- Revise mensalmente as extensões instaladas e remova as que não usa.
A Wiz encontrou mais de 550 segredos válidos em 500+ extensões do marketplace do VS Code — em mais de 100 casos, tokens que permitiam atualizar a própria extensão. Nunca publique extensões internas com segredos embutidos e rotacione qualquer token exposto.