Die Schwachstelle betrifft Claude Code, ein KI-gestütztes Werkzeug zur agentenbasierten Softwareentwicklung. Ursache ist ein Fehler in der Implementierung des Vertrauensdialogs, der beim Start angezeigt wird: Über ihn soll der Nutzer erst bestätigen, dass er dem geöffneten Projektverzeichnis vertraut, bevor dessen Inhalte verarbeitet werden. Durch den Fehler ließ sich dieser Schutz umgehen – Claude Code konnte dazu gebracht werden, in einem Projekt hinterlegten Code bereits auszuführen, bevor der Nutzer den Vertrauensdialog überhaupt bestätigt hatte. Es handelt sich damit um eine Code-Injection: Ein Angreifer kann Schadcode in ein präpariertes Projektverzeichnis einbetten, der dann ungefragt zur Ausführung kommt. Voraussetzung für die Ausnutzung ist, dass der Nutzer Claude Code in einem nicht vertrauenswürdigen Verzeichnis startet – etwa in einem aus fremder Quelle bezogenen Projekt. Nutzer mit aktivierter automatischer Aktualisierung haben die Korrektur bereits erhalten; wer manuell aktualisiert, sollte auf die jüngste Fassung wechseln.