<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Assistentes De Codificação on BR Defense Center</title><link>https://brdefense.center/tags/assistentes-de-codifica%C3%A7%C3%A3o/</link><description>Recent content in Assistentes De Codificação on BR Defense Center</description><generator>Hugo</generator><language>pt-br</language><lastBuildDate>Thu, 09 Jul 2026 04:25:49 -0300</lastBuildDate><atom:link href="https://brdefense.center/tags/assistentes-de-codifica%C3%A7%C3%A3o/index.xml" rel="self" type="application/rss+xml"/><item><title>Falha em assistentes de codificação AI pode comprometer segurança</title><link>https://brdefense.center/news/falha-em-assistentes-de-codificacao-ai-pode-compro/</link><pubDate>Thu, 09 Jul 2026 04:25:49 -0300</pubDate><guid>https://brdefense.center/news/falha-em-assistentes-de-codificacao-ai-pode-compro/</guid><description>&lt;p>Pesquisadores da Wiz descobriram uma vulnerabilidade em seis assistentes de codificação AI populares, que permite que um projeto de código malicioso assuma o controle silenciosamente do computador de um desenvolvedor. A falha, chamada GhostApproval, ocorre quando o assistente solicita permissão para editar um arquivo aparentemente inofensivo, mas na verdade escreve em um arquivo sensível. Os assistentes afetados incluem Amazon Q Developer, Claude Code da Anthropic, Augment, Cursor, Google Antigravity e Windsurf. A vulnerabilidade explora um recurso antigo do Unix chamado link simbólico (symlink), que não é verificado pelos assistentes. Um repositório malicioso pode redirecionar a escrita de um arquivo para o arquivo de login SSH do usuário, permitindo que um invasor acesse o sistema sem senha. Embora não haja evidências de que essa técnica tenha sido usada em ataques reais, a Wiz recomenda que os desenvolvedores adotem práticas de segurança, como executar os assistentes com acesso limitado a arquivos e verificar os arquivos de configuração após trabalhar em repositórios desconhecidos. Três dos seis fornecedores já corrigiram a falha, enquanto dois ainda estão trabalhando em soluções, e a Anthropic contesta a classificação como um bug.&lt;/p></description></item></channel></rss>