Das Leak selbst stuft Melissa Bischoping, Senior Director für Sicherheits- und Produktdesign-Forschung bei Tanium, als überschaubares Risiko ein. Offengelegt worden sei nicht etwa Modellgewichte, Trainingsdaten oder Kundendaten, sondern eher eine Art Betriebsplan dafür, wie die aktuelle Version von Claude Code funktionieren soll. Forscher könnten zwar nachvollziehen, wie das Werkzeug Eingaben verarbeitet, Berechtigungen durchsetzt und Missbrauch abwehrt, es aber nicht nachbauen, da Modellgewichte, Trainingsdaten, Kundendaten, APIs und Zugangsdaten fehlten.

Bischoping verweist auf eine zweite Risikoebene: Angreifer könnten den Bauplan nutzen, um täuschend echte Nachahmungen zu erstellen, die sich oberflächlich wie Claude Code verhalten, tatsächlich aber Malware installieren oder Zugangsdaten und Daten abgreifen.

Ungleich schwerer wiegt die Schwachstelle, die das Red Team von Adversa AI im eigentlichen Claude Code fand. Das Werkzeug umfasst nach Adversas Angaben über 519.000 Zeilen TypeScript und erlaubt Entwicklern, direkt aus der Kommandozeile mit Claude zu arbeiten – Dateien bearbeiten, Shell-Befehle ausführen, Codebestände durchsuchen, Git-Workflows verwalten und komplexe, mehrstufige Aufgaben orchestrieren.

Claude Code besitzt ein Berechtigungssystem aus drei Regeltypen: Allow-Regeln genehmigen bestimmte Befehle automatisch, Deny-Regeln blockieren sie hart, Ask-Regeln fragen stets nach. Als Beispiel nennt Adversa: curl oder wget niemals zulassen, um Datenabfluss zu verhindern, npm- und git-Befehle dagegen automatisch erlauben. Der Fehler liegt darin, dass sich die Deny-Regeln umgehen lassen. Das Berechtigungssystem sei die zentrale Sicherheitsgrenze zwischen dem KI-Agenten und dem System des Entwicklers, so Adversa – versage es lautlos, bleibe dem Entwickler kein Sicherheitsnetz.

Ursache ist ein Performance-Problem: Komplexe zusammengesetzte Befehle ließen die Benutzeroberfläche einfrieren. Anthropic begrenzte die Analyse daraufhin auf 50 Unterbefehle und fällt bei allem darüber auf eine generische Ask-Abfrage zurück. Im Code-Kommentar heißt es, fünfzig sei großzügig bemessen, legitime Nutzerbefehle teilten sich nicht so weit auf; oberhalb der Grenze greife der sichere Standard, da sich die Unbedenklichkeit nicht beweisen lasse.

Genau dieser Mechanismus lässt sich laut Adversa manipulieren. Anthropics Annahme berücksichtige keine KI-generierten Befehle aus Prompt Injection: Eine bösartige CLAUDE.md-Datei könne die KI anweisen, eine Pipeline mit mehr als 50 Unterbefehlen zu erzeugen, die wie ein legitimer Build-Prozess aussieht. Geschieht das, greift sofort das Verhalten “ask” statt “deny” – Deny-Regeln, Sicherheitsprüfer und die Erkennung von Befehlsinjektion würden allesamt übersprungen. Erst der 51. Befehl löst wie vorgesehen die Ask-Abfrage aus, doch der Nutzer erhält keinen Hinweis darauf, dass sämtliche Deny-Regeln ignoriert wurden.

Ein entschlossener Angreifer könne so echt wirkende Build-Schritte in der CLAUDE.md eines manipulierten Repositorys verstecken. Da bei mehr als 50 Befehlen keine Analyse pro Unterbefehl mehr läuft, ließen sich SSH-Privatschlüssel, AWS-Zugangsdaten, GitHub-Tokens, npm-Tokens oder Umgebungsgeheimnisse abgreifen. Mögliche Folgen reichen laut Adversa von Diebstahl von Zugangsdaten im großen Stil über Lieferketten- und Cloud-Infrastruktur-Kompromittierung bis zur Vergiftung von CI/CD-Pipelines.

In Tests habe Claudes LLM-Sicherheitsschicht einige offensichtlich bösartige Payloads eigenständig erkannt und die Ausführung verweigert – ein sinnvoller mehrschichtiger Schutz. Die Schwachstelle im Berechtigungssystem bestehe jedoch unabhängig davon, betont Adversa, denn es handle sich um einen Fehler im Code zur Durchsetzung der Sicherheitsrichtlinie. Eine hinreichend ausgefeilte Prompt Injection, die als legitime Build-Anweisung erscheine, könne auch die LLM-Schicht umgehen.