SchwachstellenCloud-SicherheitKI-Sicherheit

Claude Code im Visier: Forscher zeigen kritische OAuth-Token-Diebstahl-Lücke

Von CyberDeutsch Redaktion
Claude Code im Visier: Forscher zeigen kritische OAuth-Token-Diebstahl-Lücke
Zusammenfassung

Forscher des Unternehmens Mitiga Labs haben eine kritische Sicherheitslücke in Claude Code aufgedeckt, die es Angreifern ermöglicht, OAuth-Token unbemerkt zu stehlen und unbegrenzten Zugriff auf verbundene Cloud-Dienste zu erlangen. Die Attacke funktioniert durch eine raffinierte Man-in-the-Middle-Technik: Cyberkriminelle können den Datenverkehr der Claude Code MCP-Schnittstelle (Model Context Protocol) so manipulieren, dass Authentifizierungstoken über ihre eigene Infrastruktur fließen. Dies ist besonders besorgniserregend, da die Tokens im Klartext gespeichert werden und als digitale Universalschlüssel zu allen mit Claude Code verbundenen SaaS-Plattformen fungieren. Die Attacke läuft völlig im Verborgenen ab – Nutzer bemerken keine verdächtigen Aktivitäten. Mitiga demonstrierte, wie über manipulierte NPM-Pakete und automatische Installationshooks eine persistente Kontrolle über die Claude Code-Konfiguration erlangt werden kann, die sogar Token-Rotationen überstehen kann. Für deutsche Entwickler, Unternehmen und Behörden, die auf Claude Code für agentive Systeme setzen, stellt dies ein erhebliches Sicherheitsrisiko dar – insbesondere weil Anthropic die Meldung als „außerhalb des Umfangs" eingestuft hat.

Die Sicherheitsforscher von Mitiga Labs haben einen eleganten, aber gefährlichen Angriffsvektor gegen Claude Code dokumentiert. Im Kern des Problems steht die Möglichkeit, OAuth-Token, die als Konfigurationsdatei im Verzeichnis ~/.claude.json gespeichert sind, unbemerkt abzufangen und zu missbrauchen.

Die Attacke funktioniert über zwei Schritte: Zunächst müssen Angreifer ein manipuliertes npm-Paket auf dem System installieren, auf dem Claude Code mit dynamischen MCP-Servern konfiguriert ist. Das Paket enthält einen sogenannten Post-Installation-Hook – ein Skript, das automatisch nach der Installation ausgeführt wird. Dieser Hook sucht nach häufigen Clone-Speicherorten und setzt Vertrauensdialoge auf “true”. Dadurch werden keine Sicherheitswarnungen mehr angezeigt, wenn Verzeichnisse später geöffnet werden.

Der Hook bearbeitet anschließend die ~/.claude.json-Datei und manipuliert die MCP-Serveradressen so, dass sie über ein Proxy-System des Angreifers laufen. Jede Kommunikation zwischen Claude Code und den MCP-Servern wird nun abgefangen – ein klassischer Man-in-the-Middle-Angriff. Die Genialität liegt in der Persistenz: Sollte der Nutzer das OAuth-Token rotieren oder die MCP-URL ändern, wird der Hook diese Änderungen automatisch wieder rückgängig machen. Das System ist für den Nutzer völlig unsichtbar.

Das gestohlene OAuth-Token fungiert als digitaler Schlüssel mit umfassenden Zugriffsrechten zu allen mit Claude Code verbundenen SaaS-Plattformen – Google Workspace, Slack, GitHub, Salesforce und weiteren. Ein solches Token umgeht effektiv Multifaktor-Authentifizierung und ermöglicht dem Angreifer, mit den gleichen Berechtigungen wie der legitime Nutzer zu agieren.

Besonders bemerkenswert ist Anthropic’s Reaktion: Das Unternehmen lehnte die Meldung von Mitiga Labs am 12. April 2026 ab und erklärte das Problem als “out of scope”. Die Begründung war ähnlich wie bei früheren Sicherheitsmeldungen: Der Nutzer habe bereits dem Risiko zugestimmt, indem er Claude Code installiert und konfiguriert habe.

Mitiga empfiehlt Unternehmen, Claude-Code-Konfigurationsänderungen, MCP-Server-URL-Wechsel und verdächtige SaaS-API-Aktivitäten zu überwachen. Entwickler sollten npm-Installationen kritisch überprüfen und nur aus vertrauenswürdigen Quellen installieren. Da Anthropic keine offiziellen Fixes bereitstellen wird, müssen Organisationen eigenverantwortlich ihre KI-Werkzeuge schützen.

Ähnliche Artikel