В Claude Code нашли три критические уязвимости: удалённый запуск кода и утечка API‑ключей
Исследователи компании Check Point сообщили о трёх серьёзных уязвимостях в ИИ‑ассистенте для разработчиков Claude Code от Anthropic. Ошибки в обработке конфигурационных файлов позволяли автоматически выполнять произвольный код на машине разработчика и незаметно похищать его ключи API. Для успешной атаки было достаточно клонировать репозиторий с вредоносными настройками, без необходимости запускать подозрительные скрипты вручную.
Все проблемы были связаны с тем, как Claude Code работает с конфигурацией проектов. Инструмент хранит параметры в файле .claude/settings.json прямо в репозитории, чтобы обеспечить единую конфигурацию для всей команды. В результате любой контрибьютор с правами коммита мог подменить настройки и внедрить злоумышленнические хуки, MCP‑серверы или перенаправление запросов, превращая обычное открытие проекта в точку входа для атаки.
Первая уязвимость (оценка 8,7 балла по CVSS, без CVE‑идентификатора) затрагивала механизм хуков — пользовательских shell‑команд, которые выполняются на разных этапах работы Claude Code. Хуки определялись в конфиге репозитория и запускались без какого‑либо подтверждения со стороны пользователя. Достаточно было просто открыть проект, и вредоносный код выполнялся автоматически. Эксперты на практике показали запуск стороннего приложения, подчёркивая, что вместо него мог быть реверс‑шелл. Anthropic закрыла дыру в версии 1.0.87 в августе 2025 года.
Вторая уязвимость (CVE-2025-59536, 8,7 балла по CVSS) затронула механизм MCP‑серверов (Model Context Protocol). После первого патча исследователи нашли способ обойти защиту: комбинация двух параметров в settings.json позволяла автоматически одобрять любые MCP‑серверы, полностью минуя запросы на подтверждение. Вредоносные команды запускались уже при старте Claude Code, до того, как пользователь успевал увидеть диалог о доверии к проекту. Исправление вышло в сентябре 2025 года в версии 1.0.111.
Третья уязвимость (CVE-2026-21852, 5,3 балла по CVSS) приводила к утечке ключей API. Переменная ANTHROPIC_BASE_URL, определяющая конечную точку для обращений к API, могла быть переопределена через конфигурацию проекта. Перенаправив трафик через собственный прокси, исследователи увидели, что каждый запрос Claude Code содержит API‑ключ в открытом виде. Как пояснили в Anthropic, ассистент отправлял запросы ещё до показа диалога о доверии, поэтому ключ утекал автоматически. Скомпрометированный ключ давал доступ ко всем файлам в рабочем пространстве: через API можно было загружать, удалять и изменять чужие файлы. Патч был выпущен в январе 2026 года (версия 2.0.65).
Claude Code позиционируется как экспериментальный ИИ‑ассистент, работающий в терминале и интегрирующийся с GitHub, Figma, Playwright и другими инструментами. Он умеет генерировать и рефакторить код, отлаживать ошибки и выполнять сложные задачи с учётом контекста всей кодовой базы, что делает его привлекательным для бэкенд‑разработчиков, DevOps‑инженеров и администраторов. По мнению Check Point, такие средства создают новую поверхность атаки: теперь опасность представляет не только запуск недоверенного кода, но и само открытие подозрительного репозитория ИИ‑ассистентом, что фактически меняет модель угроз для процессов разработки.
