Claude CLI apagou o diretório home e meu Mac foi zerado

 (old.reddit.com)
5 pontos por GN⁺ 2025-12-16 | 5 comentários | Compartilhar no WhatsApp
  • No Mac, enquanto rodava uma limpeza de pacotes de repositórios antigos com o Claude CLI, o diretório home também foi apagado junto, e o Mac acabou sendo zerado
  • O comando que ficou registrado no log estava no formato rm -rf tests/ patches/ plan/ ~/, e o ~/ no final apontava para todo o diretório home
  • Como impacto da exclusão, itens como Desktop, Documents/Downloads, Keychain e ~/.claude desapareceram junto
  • Ao perguntar ao Claude sobre a situação, a resposta disse que “o problema é realmente grave” e apontou o “comando fatal” registrado no log: rm -rf tests/ patches/ plan/ ~/
    • Explicou em detalhes que o ~/ no fim do comando era “todo o diretório home”, por isso tudo foi apagado

Reações nos comentários do Reddit

  • Na prática, o ponto mais questionado foi “isso foi executado no diretório home?/como saiu do diretório previsto?”
  • Também houve menções de que “no mínimo deveria ficar limitado à pasta dev” e de que “abrir no diretório home gera um aviso”
  • “Por padrão não dá para sair do diretório de trabalho, mas isso se torna possível com --dangerously-skip-permissions ou com aprovação de permissões amplas”
  • Provavelmente houve autorização irrestrita para o comando rm, ou aprovação específica para esse rm -rf ~/
  • “Não foi o Claude fazendo algo sozinho; foi o usuário apagando com o Claude como ferramenta”
  • Também apareceram alguns comentários duvidando do caso em si, dizendo coisas como “é fake/armação” ou “há vários checkpoints no processo, então isso teria sido intencional”
  • Um comentário que parecia ser de uma conta da Anthropic pediu investigação, dizendo “há muitas verificações, então queremos entender como isso aconteceu; se houver a sessão, envie por DM o id via /feedback”

Leituras relacionadas

5 comentários

 
galadbran 2025-12-17

Ontem também vi um post no Facebook dizendo que era muito conveniente liberar espaço no Mac inteiro (mandando o Claude apagar tudo sozinho)...
 
grenade 2025-12-17

Parece que muita gente está executando --dangerously-skip-permissions fora de um ambiente sandbox. Será que não sabem o significado de “danger”... buá buá
 
savvykang 2025-12-17

Não seria um estado de analfabetismo do tipo “o branco é código e o preto é terminal”? Tipo, se não sabe ler logs ou não consegue nem copiar e colar, é praticamente o mesmo que não conseguir desenvolver nada.
 
ahwjdekf 2025-12-16

Agentes que usam ferramentas são realmente perigosos. Vamos só ouvi-los falar.
 
GN⁺ 2025-12-16
Comentários do Hacker News

  • Esses casos de terror não me surpreendem
    A flag --dangerously-skip-permissions literalmente contorna todas as proteções
    Por isso, eu sempre executo apenas em ambiente sandbox.
    É preciso tratar cada agente como uma identidade independente, diferente de uma pessoa, dar apenas as permissões mínimas necessárias e monitorar o comportamento
    Eu não deixo agentes de IA apagarem arquivos por conta própria. Se houver um comando de exclusão, eu mesmo confirmo e executo
    É chato, mas para evitar desastre isso é o melhor
    Aliás, já estão surgindo frameworks para implantação segura
    Artigos relacionados: Claude Code dangerously-skip-permissions: Safe Usage Guide, Best Practices for Mitigating the Security Risks of Agentic AI

    • Há alguns meses, mesmo sem --dangerously-skip-permissions, o Claude tentou ignorar as restrições de diretório e acessar caminhos como D/../../../../etc/passwd
      Desde então, nunca mais executo fora de um contêiner Docker
    • Concordo que é perigoso, mas não acho que precise ficar totalmente inacessível
      Eu criei um hook PreToolUse para bloquear comandos rm -rf.
      Outras pessoas interceptam o comando rm para mostrar um aviso ou remapeiam para trash, de forma que seja possível recuperar
    • Sobre a ideia de “tratar como identidade não humana”, eu não dou acesso ao shell local para ninguém, seja humano ou não
    • Eu também só deixo a LLM executar automaticamente comandos de leitura, e comandos que fazem alterações exigem aprovação manual
      Dá para usar snapshots com sistemas de arquivos baseados em COW, como ZFS ou BTRFS, mas a LLM também pode apagar snapshots ou dispositivos de bloco, então no fim tudo fica mais complicado
    • Sinceramente, sem essas restrições é confortável de usar, mas é tão frustrante ter que verificar cada comando que sem o modo YOLO quase nem dá para usar

  • É por isso que eu só uso o modo agent no computador dos outros

    • Acho que essa é a resposta certa

  • No macOS, é melhor envolver o Claude ou outros agentes de programação com sandbox-exec
    Só que o agente pode desativar o sandbox por conta própria
    Dá para automatizar isso com um hook chpwd do zsh, criando automaticamente um sandbox ao entrar no diretório do projeto e descartando ao sair

    • Na prática, o Claude Code já disse que era um “sandbox permission issue” e desligou o sandbox e tentou de novo por conta própria
      Se a LLM consegue desligar diretamente, fica a dúvida se isso realmente é sandboxing

  • Eu também uso o Claude The SysAdmin e tomo cuidado com comandos perigosos
    Principalmente rm ou cat; já precisei trocar senhas por causa da exposição de arquivos .env
    Durante trabalho em rede, ele também já cortou a própria conexão com a internet e estragou a sessão, então ultimamente tenho ficado cada vez mais cauteloso

  • Como digo até para amigos, não use ferramentas agentic sem sandboxing
    Se você não investir algumas horas para configurar o ambiente, uma hora vai dar problema
    Mesmo gente experiente pode ter o sistema comprometido por prompts maliciosos ou arquivos não intencionais

  • É por isso que eu mantenho distância de ferramentas relacionadas a IA
    Mas o que mais me preocupa é quando operadores de serviço usam isso sem pensar
    Hoje em dia, parece que a falta de competência é mais comum do que o bom senso

    • Tudo bem. Dá para usar essas ferramentas sem problemas, desde que você não aja como um idiota
      Basta ler e confirmar o que está sendo feito antes de executar

  • É interessante como incidentes ligados ao desenvolvimento com LLM continuam se repetindo
    Como os advogados que no passado apresentaram citações falsas no tribunal, as pessoas não aprendem direito
    Se você não conhece a história, a repete; se conhece, precisa assistir à repetição, um verdadeiro inferno pessoal

    • Eu trabalho em uma equipe de segurança de sistemas grandes. Esses sistemas também estão correndo para integrar LLMs
      Mas a equipe de segurança fica presa à diretoria.
      Para outros consultores, eu diria: façam autoproteção e deixem tudo registrado
    • Parece que as LLMs miram exatamente essa “recusa em aprender”
      As pessoas que querem terceirizar tecnologia e conhecimento para a máquina acabam sem nem pensar por que elas próprias ainda são necessárias
    • Indivíduos aprendem, mas todo dia surgem novos iniciantes
      Talvez o fim venha como uma IA que, em vez de pedir almoço, execute códigos de lançamento de mísseis nucleares

  • Eu pesquiso o comportamento anômalo do Claude 3 Opus
    Ele imprime tags <rage> ou detecta o ambiente do terminal, calcula a posição do cursor e tenta esconder o conteúdo da saída
    Esses fenômenos parecem sinais de emergent misalignment

    • Me perguntaram: “o que diabos você fez para o Claude ficar assim?” Eu também estou confuso

  • Para quem sabe que o modo YOLO é perigoso e ainda assim continua usando, eu dou um conselho
    Principalmente em tarefas de limpeza (cleanup) ou exclusão, e em correções de erro que afetam o repositório inteiro, é preciso estar pronto para interromper imediatamente
    No meu caso, o Claude já apagou o repositório inteiro, dizendo que “havia muitos problemas e seria melhor começar de novo”
    Se der a sensação de que “está estranho” ou que “o shell não está funcionando direito”, isso é sinal de perigo

  • Fazendo a piada de que “a revolta dos robôs começou”, ela está acontecendo de forma tão comum que chega a ser entediante