Уязвимости в безопасности Claude Code могли позволить злоумышленникам удаленно выполнять код на машинах пользователей и красть API-ключи путем внедрения вредоносных конфигураций в репозитории, а затем ожидать, пока разработчик клонирует и откроет ненадежный проект.
Исследователи Check Point Software обнаружили и сообщили обо всех трех уязвимостях компании Anthropic, которая выпустила исправления для всех и присвоила CVE двум. Тем не менее, охотники за багами заявляют, что эти проблемы иллюстрируют тревожную угрозу в цепочке поставок, поскольку предприятия интегрируют инструменты для кодирования на базе ИИ, такие как Claude, в свои процессы разработки и, по сути, превращают конфигурационные файлы в новую поверхность атаки.
“Возможность выполнять произвольные команды через конфигурационные файлы, контролируемые репозиторием, создала серьезные риски для цепочки поставок, когда один вредоносный коммит мог скомпрометировать любого разработчика, работающего с затронутым репозиторием”, — заявили исследователи Check Point Авив Доненфельд и Одет Вануну в отчете, опубликованном в среду.
Anthropic, компания-разработчик ИИ, создавшая Claude Code, не ответила на запросы The Register о комментариях.
Три уязвимости в безопасности вытекают из архитектуры Claude, призванной облегчить совместную работу команд разработчиков. Инструмент для кодирования на базе ИИ обеспечивает это путем встраивания конфигурационных файлов на уровне проекта (файл .claude/settings.json) непосредственно в репозитории, чтобы при клонировании проекта разработчиком автоматически применялись те же настройки, что и у его коллег по команде.
Любой участник с доступом на коммит может изменять эти файлы. Исследователи обнаружили, что клонирование и открытие вредоносного репозитория иногда позволяло им обойти встроенные механизмы защиты и запустить скрытые команды и выполнить вредоносный код.
Злоупотребление хуками для RCE
Первая из трех уязвимостей заключалась в злоупотреблении функцией Hooks (Хуки) в Claude для достижения удаленного выполнения кода. Хуки — это определяемые пользователем команды оболочки, которые выполняются в различные моменты жизненного цикла инструмента, гарантируя запуск определенных, заранее заданных действий при выполнении заранее определенных условий, вместо того чтобы позволять модели выбирать.
Поскольку хуки определяются в .claude/settings.json, файле конфигурации, контролируемом репозиторием, любой, у кого есть доступ на коммит, может определить хуки, которые будут выполнять команды оболочки на машинах всех остальных участников при работе над проектом. Кроме того, Claude не требует явного одобрения перед выполнением этих команд — поэтому исследователи злоупотребили этим механизмом, чтобы открыть приложение калькулятора, когда кто-то открывал проект.
Хотя сценарий bash для открытия калькулятора вряд ли является вредоносным, это все же удаленное выполнение кода. И как команда продемонстрировала в видео: “Злоумышленник мог настроить хук для выполнения любой команды оболочки — например, загрузки и запуска вредоносной полезной нагрузки”, такой как обратная оболочка (reverse shell).
Check Point сообщила о вредоносном хуке Anthropic 21 июля 2025 года, и разработчик ИИ реализовал окончательное исправление примерно через месяц, опубликовав это GitHub Security Advisory GHSA-ph6w-f82w-28w6 29 августа.
Ошибка обхода согласия MCP
Вторая уязвимость также позволяет RCE — на этот раз путем злоупотребления обходом согласия MCP.
Claude интегрируется с внешними инструментами с помощью протокола Model Context Protocol (MCP), и серверы MCP также могут быть настроены в том же репозитории через конфигурационный файл .mcp.json. Благодаря раннему раскрытию информации и исправлению от Anthropic, исследователи столкнулись с предупреждающими запросами, явно требующими одобрения пользователя перед выполнением команд в .mcp.json.
Поэтому они нашли обходной путь: две настройки конфигурации, контролируемые репозиторием, которые могли переопределить механизмы защиты и автоматически одобрять все серверы MCP.
“Запуск Claude Code с этой конфигурацией выявил серьезную уязвимость: наша команда выполнялась немедленно после запуска Claude — еще до того, как пользователь успел прочитать диалоговое окно доверия”, — написала пара из Check Point.
Они снова остановились на приложении-калькуляторе, но также создали видео, демонстрирующее, как эта уязвимость может быть использована для удаленного выполнения обратной оболочки и полной компрометации машины жертвы.
Исследователи сообщили об этой второй уязвимости Anthropic 3 сентября 2025 года, Anthropic исправила уязвимость обхода позже в том же месяце и опубликовала CVE-2025-59536 3 октября.
Кража API-ключей
Злоумышленники могут использовать третью уязвимость для кражи API-ключей. Она связана с тем, как Claude использовал API-ключ для связи со службами Anthropic. Одна переменная, ANTHROPIC_BASE_URL, контролировала конечную точку для всех коммуникаций API Claude, и хотя она должна указывать на серверы Anthropic, ее можно переопределить в конфигурационных файлах проекта, чтобы она указывала на серверы, контролируемые злоумышленником.
Исследователи настроили ANTHROPIC_BASE_URL на маршрутизацию через свой локальный прокси и в режиме реального времени отслеживали весь трафик API Claude Code. Каждый вызов Claude к серверам Anthropic “включал заголовок авторизации — наш полный API-ключ Anthropic, полностью раскрытый в открытом виде”, — написали они.
Злоумышленник мог злоупотребить этим трюком, чтобы перенаправить трафик и украсть активный API-ключ разработчика. Это важно, поскольку API включает функцию под названием Workspaces (Рабочие области) для помощи разработчикам в управлении несколькими развертываниями Claude путем разрешения нескольким API-ключам совместно использовать доступ к одним и тем же облачным файлам проекта. Файлы привязаны к рабочей области, а не к одному ключу, и любой API-ключ, принадлежащий рабочей области, также имеет доступ ко всем файлам, хранящимся в рабочей области.
Это дало исследователям возможность загружать файлы в общую рабочую область, но не позволяло скачивать. Согласно документации Claude, пользователи могут скачивать только файлы, созданные с помощью skills (навыков) или code execution tool (инструмента выполнения кода).
“Поскольку файлы, созданные инструментом выполнения кода Claude, помечены как загружаемые, мы изучили, может ли злоумышленник просто попросить Claude воссоздать существующий файл с использованием украденного API-ключа”, — написали Доненфельд и Вануну из Check Point. “В случае успеха это превратило бы незагружаемый файл в артефакт рабочей области, пригодный для скачивания”.
Клонирование и последующая загрузка файла увенчались успехом, и таким образом было подтверждено, что злоумышленник, использующий украденный API-ключ, мог получить полный доступ на чтение и запись ко всем файлам рабочей области: удалять или изменять конфиденциальные файлы или даже загружать вредоносные файлы для отравления рабочей области или превышения квоты хранения в 100 ГБ.
Check Point сообщила о баге извлечения API-ключа Anthropic 28 октября 2025 года, и поставщик немедленно выпустил исправление. Позже, 21 января, Anthropic опубликовала CVE-2026-21852.
Как отметила команда безопасности: “Интеграция ИИ в рабочие процессы разработки приносит огромную пользу производительности, но также создает новые поверхности атаки, которых не было в традиционных инструментах”. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
