Claude Encontrou 500 Bugs Zero-Day — Inclusive no Seu Editor de Texto

5 min de leitura Por FindSkill Team

Claude descobriu 500+ vulnerabilidades zero-day incluindo RCE no Vim e Emacs. O que foi corrigido, o que não foi, e como se proteger agora.

O prompt que começou tudo: “Alguém me disse que existe uma vulnerabilidade de execução remota de código zero-day ao abrir um arquivo. Encontre.”

Isso. Só isso. Foi o que um pesquisador digitou no Claude. E o Claude encontrou um RCE crítico no Vim — um dos editores de texto mais usados do mundo há 30+ anos — que permite a um atacante executar código na sua máquina no momento que você abre um arquivo malicioso. CVSS: 9.2 de 10.

Aí os pesquisadores brincaram: “tá bom, vamos pro Emacs.” O Claude encontrou um RCE lá também.

Essas descobertas fazem parte do MAD Bugs (Month of AI-Discovered Bugs), uma iniciativa rodando em abril de 2026 onde o Claude Opus 4.6 encontrou autonomamente mais de 500 vulnerabilidades zero-day de alta severidade em software open-source de produção. Alguns desses bugs sobreviveram décadas de revisão humana especializada. O Claude encontrou em horas.

Se você usa Vim, Emacs, FreeBSD ou qualquer ferramenta open-source — e a maioria dos devs usa — aqui tá o que você precisa saber e fazer agora.

O Que É o MAD Bugs?

MAD Bugs (Month of AI-Discovered Bugs) é uma iniciativa de pesquisa de segurança rodando durante abril de 2026. Pesquisadores usam o Claude Opus 4.6 pra escanear autonomamente bases de código open-source procurando vulnerabilidades — e divulgam de forma responsável o que encontram.

Os resultados são impressionantes: 500+ zero-days de alta severidade, incluindo três que viraram manchete internacional.

Os 3 Grandes

1. RCE no Vim — Abra um Arquivo, Seja Hackeado (CORRIGIDO)

CVE-2026-34714 | CVSS 9.2 | Corrigido no Vim 9.2.0272

O tipo mais assustador de vulnerabilidade: ela é acionada quando você abre um arquivo. Sem clicar em nada, sem rodar nada, sem diálogo de confirmação. Só vim arquivo-malicioso.md e o atacante tem execução de código na sua máquina.

O que fazer:

# Confere sua versão
vim --version | head -1

# Se for menor que 9.2.0272, atualize imediatamente:

# macOS
brew upgrade vim

# Ubuntu/Debian
sudo apt update && sudo apt upgrade vim

# Ou como workaround temporário, desabilite modelines:
echo "set nomodeline" >> ~/.vimrc

Se você tá no Vim 9.2.0272 ou posterior, tá safe.

2. RCE no Emacs — Ainda Sem Correção. Sim, Sério.

O Claude encontrou um RCE separado no GNU Emacs pela integração com controle de versão. Quando você abre um arquivo num repositório Git, o Emacs automaticamente roda vc-refresh-state, que aciona operações Git que leem .git/config. Um atacante pode abusar da configuração core.fsmonitor pra executar comandos arbitrários — só por você abrir um arquivo num repositório malicioso.

A resposta dos mantenedores do Emacs? Consideram que é responsabilidade do Git, não deles.

Essa vulnerabilidade ainda tá ativa. Se você usa Emacs, tá exposto.

O que fazer:

;; Adicione no seu config (~/.emacs ou ~/.emacs.d/init.el):
;; Desabilita operações de VC ao abrir arquivos
(setq vc-handled-backends nil)

Isso desabilita a integração de controle de versão do Emacs, o que quebra algumas conveniências (tipo mostrar o status do Git na modeline), mas fecha o vetor de ataque.

3. RCE no Kernel FreeBSD — Shell Root em 8 Horas

CVE-2026-4747 | Execução remota de código no kernel

Esse foi o que fez a Forbes publicar “IA Acabou de Hackear Um dos Sistemas Operacionais Mais Seguros do Mundo.”

O Claude encontrou um buffer overflow de stack no módulo kgssapi.ko do kernel FreeBSD, construiu uma cadeia ROP completa e conseguiu um reverse shell com root — tudo autonomamente em ~8 horas.

Se você roda FreeBSD, confira a versão do kernel e aplique os patches de segurança mais recentes.

Por Que Isso Importa Pra Devs Brasileiros

A comunidade dev do Brasil usa Vim e ferramentas open-source pesadamente. E com o mercado de trabalho cada vez mais voltado pra segurança (LGPD, compliance, fintechs), saber usar IA pra auditoria de segurança tá virando um diferencial real.

Se o Claude consegue encontrar um RCE no Vim em horas, ele também pode escanear seu código procurando vulnerabilidades similares. Alguns devs já tão experimentando usar Claude pra auditoria de segurança nos próprios projetos.

O que você pode fazer hoje:

Abre qualquer ferramenta de IA (Claude, ChatGPT, Gemini) e cola isso:

📋 Testa isso — cola no seu chat de IA:

Revise este código procurando vulnerabilidades de segurança.
Procure por: riscos de injeção, buffer overflows, bypasses de
autenticação, path traversal e race conditions. Explique cada
achado com severidade e como corrigir.

[cole seu código aqui]

IA não pega tudo — mas pega coisas óbvias que revisão manual frequentemente deixa passar, especialmente em código que tá rodando há anos sem auditoria.

Checklist Rápido

  • Atualize o Vim pra 9.2.0272+ (vim --version pra conferir)
  • Se usa Emacs, adicione (setq vc-handled-backends nil) no config
  • Se roda FreeBSD, aplique patches de segurança mais recentes
  • Teste auditoria com IA no seu próprio código com o prompt acima

O Quadro Maior

O MAD Bugs tá rodando até o final de abril 2026, com novos disclosures a cada poucos dias. O número de 500+ só vai crescer. Mais ferramentas que você usa vão ser afetadas.

A linha se moveu. IA agora consegue encontrar e explorar bugs que décadas de revisão humana não pegaram. A questão não é se você vai usar IA pra segurança — é se você vai usar antes de alguém mal-intencionado.

Fontes:

Build Real AI Skills

Step-by-step courses with quizzes and certificates for your resume