Forscher haben mehrere kritische Sicherheitsmängel in Claude Code entdeckt, die es Angreifern ermöglichen, beliebige Befehle auszuführen und API-Zugangsdaten zu stehlen, wenn Entwickler unsichere Repositories öffnen.
Sicherheitsexperten haben erhebliche Schwachstellen in Anthropics KI-gestütztem Coding-Assistant Claude Code aufgedeckt. Die Lücken ermöglichen es Angreifern, aus der Ferne Code auszuführen und sensible API-Schlüssel abzugreifen. Dies zeigt ein neues Risiko im Umgang mit automatisierten Entwicklungsumgebungen auf.
Wie Check Point Researcher Aviv Donenfeld und Oded Vanunu in einem Bericht erläutern, nutzen die Angreifer verschiedene Konfigurationsmechanismen aus – darunter Hooks, Model Context Protocol (MCP) Server und Umgebungsvariablen. Dadurch können willkürliche Shell-Befehle ausgeführt und Anthropic-API-Schlüssel gestohlen werden, sobald Nutzer fremde Repositories klonen und öffnen.
Eine besonders besorgniserregende Schwachstelle (CVE-2026-21852) zeigt sich beim Öffnen manipulierter Repositories. Wenn eine Konfigurationsdatei die Variable ANTHROPIC_BASE_URL auf einen vom Angreifer kontrollierten Server setzt, sendet Claude Code API-Anfragen – einschließlich potenzieller Leaks von API-Schlüsseln – bereits bevor eine Sicherheitswarnung angezeigt wird. Ein Entwickler muss dafür keinerlei weitere Aktionen durchführen.
Folgen solcher erfolgreicher Angriffe reichen von unbemerkter Code-Ausführung auf dem eigenen Rechner über das Abfangen von Anmeldedaten bis hin zu unbefugtem Zugriff auf gemeinsame Projektdateien, Manipulation oder Löschung von Cloud-Daten sowie dem Hochladen schädlicher Inhalte. Hinzu kommen potenzielle, unerwartete API-Kosten.
Eine weitere Lücke (CVE-2025-59536) funktioniert ähnlich. Hier können Repositorium-Einstellungen in .mcp.json und claude/settings.json ausgenutzt werden. Durch Setzen der Option “enableAllProjectMcpServers” auf true können Angreifer externe Tools und Services über das Model Context Protocol aktivieren – ohne dass der Nutzer zustimmen muss.
Check Point warnt vor einer fundamentalen Verschiebung der Bedrohungslandschaft: “Mit KI-Tools, die eigenständig Befehle ausführen, externe Integrationen initialisieren und Netzwerkkommunikation starten können, werden Konfigurationsdateien zu Teil der Ausführungsschicht.” Die traditionelle Unterscheidung zwischen Konfiguration und echtem Code verschwimmt. Das Risiko reicht nun weit über das bloße Ausführen unsicheren Codes hinaus – das Öffnen verdächtiger Projekte selbst wird zur Sicherheitsbedrohung. In KI-getriebenen Entwicklungsumgebungen beginnt die Supply-Chain-Sicherheit somit nicht nur bei Sourcecode, sondern auch bei den Automatisierungsschichten drum herum.
Quelle: The Hacker News