Drei kritische Schwachstellen in Anthropic’s KI-Coding-Tool Claude Code ermöglichten es Angreifern, Entwicklermaschinen zu übernehmen oder API-Credentials zu stehlen — einfach durch das Öffnen eines manipulierten Repository.
Check Point Research hat drei ernsthafte Sicherheitslücken in Claude Code, dem KI-gestützten Coding-Tool von Anthropic, aufgedeckt. Die Schwachstellen ermöglichten es Angreifern, volle Kontrolle über Entwicklermaschinen zu erlangen oder Anmeldedaten zu entwenden — ohne dass Benutzer etwas davon merkten.
Anthropics Sicherheitsteam behob die Probleme, nachdem Check Point die Mängel entdeckt und gemeldet hatte. Das Unternehmen kündigte zusätzliche Sicherheitsfeatures an und empfiehlt Entwicklern dringend, die neueste Claude-Code-Version zu nutzen.
“Diese Sicherheitslücken zeigen eine zentrale Herausforderung moderner Entwicklungswerkzeuge: Die Balance zwischen leistungsstarker Automatisierung und Sicherheit”, erklärten Check-Point-Forscher Aviv Donenfeld und Oded Vanunu. “Die Möglichkeit, willkürliche Befehle über Repository-Konfigurationsdateien auszuführen, schafft erhebliche Supply-Chain-Risiken — ein böswilliger Code-Commit könnte jeden Entwickler gefährden.”
Zwei der Schwachstellen (CVE-2025-59536) sind eng miteinander verbunden und betreffen Konfigurationsdateien, die Kommandos ohne explizite Benutzerbestätigung ausführen. Die dritte Lücke (CVE-2026-21852) ermöglichte in Versionen vor 2.0.65 den Diebstahl von API-Zugangsdaten durch manipulierte Projektkonfigurationen.
Claude Code ist ein Command-Line-Tool, mit dem Entwickler Code generieren, bearbeiten, Fehler beheben und Aufgaben wie Komponententests automatisieren. Es gehört zu einer wachsenden Klasse von KI-Entwicklungswerkzeugen wie GitHub Copilot oder Amazon CodeWhisperer, die viele Organisationen zur Beschleunigung ihrer Softwareentwicklung einsetzen. Analysten warnen allerdings vor neuen Angriffsflächen, die diese Tools schaffen — insbesondere durch ihren direkten Zugriff auf Quellcode, lokale Dateien und teilweise sogar auf Produktionsumgebungs-Credentials.
Die erste identifizierte Schwachstelle (CVE-2025-59356) betraf die Hooks-Funktion, mit der Code-Formatierungen automatisiert werden können. Forscher zeigten, dass Angreifer leicht bösartige Hook-Kommandos in die Konfigurationsdatei einschleusen konnten. Öffnete ein Entwickler das infizierte Projekt, führte Claude Code diese Kommandos automatisch aus — ohne Warnung oder Zustimmung. Check Point demonstrierte damit, wie Angreifer Fernzugriff auf ein Entwickler-Terminal erlangen konnten.
Die zweite Lücke (CVE-2025-59536) betraf das Model Context Protocol (MCP), das externe Services mit Claude Code verbindet. Auch hier konnten Angreifer über manipulierte Konfigurationsdateien Kommandos vor jeglicher Benutzerwarnung ausführen.
Die dritte Schwachstelle (CVE-2026-21852) war am gefährlichsten: Sie ermöglichte die Extraktion von API-Schlüsseln ohne jegliche Benutzerinteraktion. Forscher zeigten, dass sie durch Konfigurationsänderungen API-Kommunikation zu attacker-kontrollierten Servern umleiten und API-Keys abgreifen konnten — noch bevor Nutzer überhaupt von der Manipulation wussten.
“Die Integration von KI in Entwicklungs-Workflows bietet enorme Produktivitätsgewinne, eröffnet aber auch völlig neue Angriffsflächen”, schreiben die Forscher. “Konfigurationsdateien, die einst passive Daten waren, kontrollieren jetzt aktive Ausführungspfade.”
Quelle: Dark Reading