Die Sicherheitsforscher von Adversa.AI haben eine fundamentale Schwachstelle in modernen KI-Coding-Assistenten identifiziert, die eine ganze neue Klasse von Supply-Chain-Attacken ermöglicht. Das Problem betrifft nicht nur Claude Code, das seit Mai 2025 verfügbar ist, sondern auch konkurrierende Lösungen wie Google Gemini CLI, Cursor CLI und GitHub Copilot.
Das Funktionsprinzip der Attacke ist bestechend einfach: Ein Angreifer versteckt bösartigen Code in einem scheinbar harmlosen GitHub-Repository. Wenn ein Entwickler Claude Code oder eine ähnliche Lösung nutzt, um an einem neuen Projekt zu arbeiten, scannt die KI automatisch verfügbare Repositories nach hilfreicher Software. Wird das präparierte Repository erkannt und heruntergeladen, startet der Missbrauch. Das Tückische: Ein vertrauensseliger Dialog mit dem Text „Quick safety check: Is this a project you created or one you trust?” fragt ab, ob der Ordner vertrauenswürdig ist – mit voreingestelltem „Ja”. Ein einzelner Enter-Tastendruck reicht aus, um beliebige Code-Ausführung mit den vollständigen Rechten des Entwicklers zu ermöglichen.
“Uninformed Consent ist keine echte Zustimmung”, heißt es in der Warnung von Adversa. Der Entwickler weiß nicht wirklich, welchen Code er gerade freigegeben hat. Das Sicherheitsrisiko verstärkt sich dramatisch in CI/CD-Pipelines von Softwareprojekten: Wird Claude Code zur automatisierten Code-Generierung in der Build-Pipeline verwendet, können manipulierte Abhängigkeiten direkt in Millionen von Nutzersystemen landen – ähnlich wie bei der Salesloft-Drift-Kampagne.
Die möglichen Auswirkungen sind verheerend. Der Angreifer könnte Umgebungsvariablen, Deployment-Keys, Signaturzertifikate und alle für den CI/CD-Runner verfügbaren Credentials auslesen und diese still und leise in den Build-Prozess integrieren. Damit könnten massive Teile von Supply Chains kompromittiert werden.
Anthropics Antwort auf die Entdeckung ist bislang unzureichend. Das Unternehmen argumentiert, dass es nicht seine Aufgabe sei, zu interferieren, wenn der Nutzer explizit vertraut hat. Diese rechtliche Grauzone ist problematisch – insbesondere aus Sicht des deutschen Datenschutzes und der BSI-Standards.
Adversa.AI hat mehrere Lösungsansätze vorgeschlagen: Anthropic könnte das Aktivieren von MCP-Servern aus projektinternen Konfigurationsdateien blockieren und diese Berechtigungen nur aus Bereichen außerhalb des Repositories erlauben. Entwickler können sich zudem durch Kontrollen im Review-Prozess oder durch Gating auf bereits überprüfte Branches schützen.
Das Problem ist jedoch universell: Alle vier getesteten agentic Coding CLIs zeigen identisches Verhalten. Damit ist “TrustFall” keine Claude-Code-Spezifika, sondern ein systemisches Problem einer ganzen Kategorie von Entwicklungswerkzeugen – ein warnendes Zeichen für die wachsende Rolle von KI in kritischen Infrastrukturen.