Anthropic hat zwei der drei Schwachstellen unter einer gemeinsamen Kennung zusammengefasst: CVE-2025-59536. Beide stehen in engem Zusammenhang und betreffen Konfigurationsdateien in einem Projekt-Repository, die Befehle ohne ausreichende Einwilligung des Nutzers ausführen. Die dritte Lücke, CVE-2026-21852, betrifft Claude-Code-Versionen vor 2.0.65 und erlaubte den Diebstahl von API-Zugangsdaten über manipulierte Projektkonfigurationen.
Die erste der beiden eng verwandten Schwachstellen – in der Darstellung von Check Point als CVE-2025-59356 geführt – betrifft eine Claude-Code-Funktion namens Hooks. Mit ihr können Entwickler an bestimmten Punkten im Lebenszyklus eines Projekts ein einheitliches, vordefiniertes Verhalten erzwingen, etwa die Formatierung von Code. Den Forschern zufolge ließ sich vergleichsweise leicht ein schädlicher Hook-Befehl in die Konfigurationsdatei eines Repositorys einschleusen. Öffnete ein Entwickler anschließend das Projekt, wurden diese Befehle automatisch und ohne sein Wissen oder seine Zustimmung ausgeführt. Check Point entwickelte einen Exploit, der zeigte, wie ein Angreifer auf diesem Weg Fernzugriff auf das Terminal eines Entwicklers mit dessen vollen Rechten erlangen konnte.
Die zweite, ebenfalls als CVE-2025-59536 erfasste Lücke betrifft das Model Context Protocol (MCP), über das Claude Code mit externen Diensten und Werkzeugen verbunden wird. Wie bei der Hooks-Funktion lassen sich MCP-Server über die zugehörige Konfigurationsdatei innerhalb eines Repositorys einrichten. Check Point stellte fest, dass ein Angreifer mit Zugriff auf diese Datei schädliche Befehle ausführen lassen konnte, noch bevor auf dem Bildschirm des Entwicklers eine Warnung erschien.
Die dritte Schwachstelle, CVE-2026-21852, reichte weiter, weil sie ohne jede Interaktion des Nutzers den Diebstahl eines API-Schlüssels ermöglichte. Durch Ändern einer Einstellung in der Projektkonfiguration konnten die Forscher die API-Kommunikation zwischen Claude Code und Anthropics Servern abfangen, auf einen vom Angreifer kontrollierten Server umleiten und den API-Schlüssel protokollieren – noch bevor der Nutzer überhaupt einen Warnhinweis zu sehen bekam.
Claude Code zählt zu einer schnell wachsenden Klasse KI-gestützter Entwicklungswerkzeuge, die viele Organisationen zur Beschleunigung der Softwareentwicklung einsetzen. Ähnliche Werkzeuge sind etwa GitHub Copilot, Amazon CodeWhisperer und OpenAIs Codex. Analysten warnen vor den neuen Angriffsflächen, die solche Werkzeuge schaffen, weil sie direkten Zugriff auf Quellcode und lokale Dateien und mitunter sogar auf Zugangsdaten in Produktionsumgebungen haben. Hinzu kommen weitere Risiken wie Halluzinationen und die reale Möglichkeit, dass die Werkzeuge unsicheren und fehlerhaften Code erzeugen.
Konfigurationsdateien, die früher passive Daten gewesen seien, steuerten heute aktive Ausführungspfade, schreiben Donenfeld und Vanunu. Anthropic kündigte an, weitere Sicherheitsfunktionen einzuführen, um die Plattform zu härten.
