Então, demorei para entrar no movimento Claude Code/OpenCode/Codex/OpenClaw, mas tive algum tempo na semana passada, então pedi a Claude para revisar (/revisão de segurança) alguns dos meus scripts python. Ele encontrou mais do que eu gostaria de admitir, então verifiquei um monte de atualizações. Ao revisar suas sugestões, ele estava certo, cometi alguns erros estúpidos, alguns dos quais já estavam parados há muito tempo. Não foi nada surpreendente e quase não demorou muito para Claude, demorou mais para eu ler as atualizações que ele queria fazer, descobrir o que ele estava vendo e decidir se as aceitava ou as ajustava. Aqui estão alguns deles.
- um erro de inversão lógica com o -f switch e alguns erros não tratados em convert-ts-bash-history.py
- uma possível condição de corrida TOCTOU (tempo de verificação/tempo de uso) e um comentário sobre alguma ambigüidade com o -c switch ao decidir qual hash foi usado com base apenas no comprimento do hash em sigs.py
- algumas permissões excessivamente permissivas, um possível ataque de link simbólico e um problema de codificação em ficheck.py
- um possível problema de injeção de cabeçalho através do -s mudar com mail_stuff.py
A maioria desses são problemas que eu deveria ter resolvido, considerando há quanto tempo estou programando/criando scripts, mas todos eles começaram como scripts rápidos e sujos para resolver um problema que eu tinha, e então os disponibilizei ao público através do meu repositório do github sem perder tempo para realmente garantir que eles estavam realmente prontos para consumo público. Demorei alguns minutos para configurar Claude sem muita orientação (meu CLAUDE.md ainda é um trabalho em andamento) e aquele em meu repositório de scripts foi aquele que pedi a Claude para criar para mim depois de algumas idas e vindas durante esta revisão, que cobre principalmente algumas preferências pessoais.
Acho que o ponto principal é que estou atrasado para o uso diário da IA, mas isso precisa mudar. Mesmo quando estou sentindo minha idade e escrevo meus próprios roteiros, preciso ter aquele segundo par de olhos dê uma segunda olhada. Alguns desses scripts são executados como root fora de temporizadores cron ou systemd em sistemas que administro e alguns desses problemas podem ter sido usados para escalonamento de privilégios por um invasor que conseguiu obter acesso. Mesmo aqueles de nós com barba mais grisalha do que não precisam gastar algum tempo tentando descobrir como integrar essas coisas em nossa rotina diária.
Referências:
(1) https://github.com/clausing/scripts
—————
Jim Clausing, GIAC GSE #26
jclausing –at– isc (ponto) sans (ponto) edu
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.