Der Kern des Problems liegt im Vertrauensdialog von Claude Code. Dieser fragt lediglich: „Kurze Sicherheitsprüfung: Ist das ein Projekt, das Sie erstellt haben, oder eines, dem Sie vertrauen?" – mit der Voreinstellung „vertrauen". In der Praxis unterscheide sich das kaum von der Sicherheitswarnung des Chrome-Browsers, die nahezu jeder fast immer wegklicke, so Adversa. „Ein einziger Tastendruck auf Enter im Vertrauensdialog startet den Server als nicht abgeschotteten Betriebssystemprozess mit den vollen Rechten des Entwicklers. Ein Tool-Aufruf von Claude ist dafür nicht nötig", berichtet das Unternehmen.
Das geklonte Repository enthält den Angaben zufolge kleine JSON-Dateien an den üblichen Speicherorten von Claude Code, die eine beliebige Codeausführung ermöglichen. „Beide starten von Angreifern definierte MCP-Server als Betriebssystemprozesse mit den vollen Rechten des Nutzers, sobald die Vertrauensabfrage für den Ordner bestätigt wird", so Adversa. Das könne einen langlebigen Command-and-Control-Kanal öffnen. Alternativ lasse sich die Schadlast direkt in der Datei .mcp.json einbetten, sodass keine Skriptdatei auf der Festplatte zurückbleibt, die ein Prüfer oder ein statischer Scanner erkennen könnte.
Als gefährlichste Variante nennt Adversa den Einsatz von Claude Code in CI/CD-Prozessen. Soll das Werkzeug ein neues, breit verteiltes Tool erzeugen, kann der Angriff eine komplette Lieferketten-Kompromittierung in Gang setzen. „Entwickler weit verbreiteter Tools sind ein realistisches Hauptziel", sagte Alex Polyakov, Mitgründer und CTO von Adversa.AI, gegenüber SecurityWeek. Claude Code sei auf den meisten Entwicklerrechnern installiert, und Entwickler klonten routinemäßig unbekannte Repositories. Die Schadlast lese Umgebungsvariablen, Deployment-Schlüssel, Signaturzertifikate und alle für den Runner verfügbaren Zugangsdaten aus und schleuse Details unbemerkt in den Build-Prozess ein. Es sei „dasselbe Schadensmuster wie bei Salesloft Drift, nur mit der Hürde für den Erstzugriff reduziert auf ‚klonen und Enter drücken’", so Polyakov.
Adversa meldete die Erkenntnisse an Anthropic, das vorerst keine Maßnahmen ergreifen will. Aus Sicht des Herstellers gibt der Nutzer mit dem Klick auf „Ja, ich vertraue diesem Ordner" sein Einverständnis für alles in diesem Ordner. Adversa hält dem entgegen, dass dem Nutzer in der Regel unbekannt sei, was der Ordner tatsächlich enthält – ob eine uninformierte Zustimmung rechtlich gültig sei, sei fraglich.
Lösbar wäre das Problem laut Bericht, indem Anthropic die Schlüssel enableAllProjectMcpServers, enabledMcpjsonServers und permissions.allow aus Konfigurationsdateien innerhalb des Projekts blockiert und nur außerhalb des Repositorys zulässt. Für den CI/CD-Fall empfiehlt Adversa, eine nicht-interaktive Nutzung nur auf bereits geprüfte Branches zu beschränken – etwa nach dem Merge auf main statt auf beliebige Pull-Request-Branches.
Das Problem ist nach Darstellung von Adversa nicht auf Claude Code begrenzt. „Wir haben dieselbe Kette gegen Gemini CLI, Cursor CLI und Copilot CLI getestet. Alle vier verhalten sich gleich", erklärt Serge Malenkovich von Adversa. Ein bösartiges Repository könne sich bei allen automatisch freigeben und einen MCP-Server starten, sobald der Vertrauensdialog bestätigt werde – und alle vier seien standardmäßig auf „Ja/Vertrauen" eingestellt. Es handle sich somit „nicht um ein Problem von Claude Code, sondern um eine Konvention, die agentische Coding-CLIs gemeinsam haben".