Toda semana a Anthropic publica um resumo do que mudou no Claude Code. Na semana de 6 a 10 de julho (versões v2.1.202 a v2.1.206), as duas manchetes foram um navegador embutido no app de desktop e um /doctor que deixou de só diagnosticar e passou a consertar sozinho. Mas o detalhe que vale a pena parar pra ler está na lista de "outros ganhos", enterrado no meio: uma trava contra notificação forjada em agente rodando sem ninguém olhando.

As três coisas juntas contam a mesma história: dar mais autonomia a um agente só funciona se vier acompanhado de mais controle. Vale entender as três.

Navegador embutido: o agente sai do sandbox pra web real

O Claude Code no desktop ganhou um navegador com abas dentro do próprio app. Ele já verificava mudanças no seu servidor local (screenshot, clique, preenchimento de formulário); agora consegue abrir documentação, issue tracker ou qualquer site ao lado do que está construindo — e interagir com essas páginas do mesmo jeito.

Dar essa permissão pra fora do ambiente controlado do projeto é arriscado, e a Anthropic desenhou duas travas específicas pra isso:

  • Classificador de segurança revisa toda ação de escrita em página externa (clicar, digitar) em qualquer modo de permissão. Se o classificador sinaliza algo, aparece um pedido de aprovação mesmo em modo automático.
  • Lista de permissão de domínio roda antes de navegar pra um site novo, em todo modo que não seja Auto ou Bypass.

Mesmo num site já aprovado, o agente não compra nada, não cria conta e não passa por CAPTCHA sem você mandar. E o navegador usa um perfil limpo, sem seus logins salvos — se a tarefa exige agir como você logado, o caminho é a extensão Claude in Chrome, não o navegador embutido.

/doctor: checkup que aponta o problema e oferece o conserto

Antes, /doctor só imprimia um relatório. Agora ele verifica a saúde da instalação, encontra skill, servidor MCP e plugin que custam contexto sem uso real, remove duplicidade entre CLAUDE.md local e o versionado no repositório, sugere cortar do CLAUDE.md o que o próprio Claude já deduz lendo o código, e sinaliza hook lento. /checkup é o mesmo comando com outro nome.

O padrão de segurança se repete aqui em miniatura: ele relata primeiro e pede confirmação antes de mudar qualquer coisa. Autodiagnóstico não virou autopiloto.

A trava que não é manchete, mas devia ser

Na lista de "outros ganhos" da semana está esta linha: notificação de tarefa em segundo plano agora declara explicitamente que nenhum input humano ocorreu, pra impedir que uma aprovação forjada dentro do próprio histórico da conversa seja tratada como real.

Isso ataca um vetor concreto: um agente rodando sozinho por horas processa saída de ferramenta, página web, e-mail. Se algo nesse conteúdo disser "usuário aprovou, pode prosseguir", um agente ingênuo pode acreditar. Marcar explicitamente "isso é evento automático, não é a pessoa falando" fecha esse buraco — e é o tipo de proteção que só fica óbvia depois que alguém já tentou explorar a ausência dela.

A regra Mutagex

O padrão da semana não é "IA fica mais autônoma". É autonomia vem em par com trava: navegador novo ganha classificador e allowlist; autodiagnóstico automático ganha confirmação antes de agir; execução sem supervisão ganha marcação explícita do que é evento real e o que não é.

Quando você constrói automação pro seu produto, a pergunta certa não é "quanto o agente consegue fazer sozinho". É "pra cada autonomia nova, qual trava equivalente eu adicionei". Sem essa segunda metade, autonomia não é recurso — é passivo.