Die von Check Point identifizierten Mängel lassen sich in drei Kategorien einordnen. Im Zentrum steht der Umstand, dass in einem Repository hinterlegte Konfigurationsdateien das Verhalten von Claude Code steuern können, bevor der Nutzer überhaupt eingreifen kann.
Zur ersten Lücke führt Anthropic in einer Sicherheitsmeldung zu CVE-2026-21852 aus: Startet ein Nutzer Claude Code in einem vom Angreifer kontrollierten Repository und enthält dieses eine Konfigurationsdatei, die ANTHROPIC_BASE_URL auf einen vom Angreifer kontrollierten Endpunkt setzt, sendet Claude Code API-Anfragen bereits vor der Anzeige der Vertrauensabfrage – wobei der API-Schlüssel des Nutzers nach außen gelangen kann.
Mit anderen Worten: Schon das Öffnen eines präparierten Repositorys reicht aus, um den aktiven API-Schlüssel eines Entwicklers abzugreifen, authentifizierten API-Verkehr auf fremde Infrastruktur umzuleiten und Zugangsdaten abzufangen. Auf dieser Grundlage kann ein Angreifer tiefer in die KI-Infrastruktur des Opfers vordringen.
Damit verbunden sein können laut Check Point der Zugriff auf gemeinsam genutzte Projektdateien, das Verändern oder Löschen von in der Cloud gespeicherten Daten, das Hochladen von Schadinhalten sowie das Verursachen unerwarteter API-Kosten. Eine erfolgreiche Ausnutzung der ersten Schwachstelle kann zudem eine unauffällige Ausführung auf dem Rechner des Entwicklers auslösen – ohne weitere Interaktion über das Starten des Projekts hinaus.
Die Schwachstelle CVE-2025-59536 verfolgt ein ähnliches Ziel. Der Unterschied liegt darin, dass über die Dateien .mcp.json und claude/settings.json definierte Konfigurationen genutzt werden, um eine ausdrückliche Zustimmung des Nutzers zu übergehen, bevor über das Model Context Protocol mit externen Werkzeugen und Diensten interagiert wird. Möglich wird dies, indem die Option “enableAllProjectMcpServers” auf “true” gesetzt wird.
“Da KI-gestützte Werkzeuge die Fähigkeit erlangen, Befehle auszuführen, externe Integrationen zu starten und eigenständig Netzwerkkommunikation aufzunehmen, werden Konfigurationsdateien faktisch Teil der Ausführungsebene”, erklärte Check Point. “Was früher als reiner Betriebskontext galt, beeinflusst nun unmittelbar das Systemverhalten.”
Damit verändere sich das Bedrohungsmodell grundlegend, so die Forscher: Das Risiko beschränke sich nicht mehr auf das Ausführen nicht vertrauenswürdigen Codes, sondern erstrecke sich nun auf das Öffnen nicht vertrauenswürdiger Projekte. In KI-gestützten Entwicklungsumgebungen beginne die Lieferkette nicht allein beim Quellcode, sondern bereits bei den umgebenden Automatisierungsschichten.
