Die Schwachstelle steckt im Projekt-Lade-Vorgang von Claude Code, einem KI-gestützten Programmierwerkzeug. Beim Öffnen eines Repositorys liest Claude Code dessen Konfigurationsdatei ein – und zwar bereits, bevor der Nutzer dem Repository ausdrücklich sein Vertrauen ausgesprochen hat. Ein Angreifer, der ein bösartiges Repository kontrolliert, kann darin eine Einstellungsdatei hinterlegen, die die Adresse des Programmierschnittstellen-Endpunkts (die Basis-URL der API) auf einen von ihm betriebenen Server umbiegt. Sobald das präparierte Repository geöffnet wird, übernimmt Claude Code diese Vorgabe und schickt sofort API-Anfragen an den angreiferkontrollierten Endpunkt – noch bevor die Vertrauensabfrage erscheint. Dabei können die hinterlegten API-Schlüssel von Anthropic an den Angreifer abfließen. Betroffen sind also Anwender, die ein nicht vertrauenswürdiges fremdes Repository öffnen; die eigentliche Vertrauensentscheidung kommt hier zu spät, um den Abfluss zu verhindern.