Уязвимост в AI инструмент за разработка: Claude Code позволява RCE и кражба на API ключове

Уязвимост в AI инструмент за разработка: Claude Code позволява RCE и кражба на API ключове

Бяха идентифицирани критични уязвимости в Anthropic Claude Code, AI-базиран инструмент за разработка от команден ред, които позволяват Remote Code Execution (RCE) и потенциална ексфилтрация на API ключове чрез конфигурационни файлове, контролирани от хранилището.

Проблемите бяха докладвани от Check Point Research и отстранени от Anthropic преди публичното им разкриване.

Този случай подчертава структурна промяна в риска. AI инструментите за разработка вече са част от повърхността за изпълнение на код.

Какво е експлоатирано

Claude Code позволява конфигурация на ниво проект чрез файлове, съхранявани директно в хранилището, включително:

• .claude/settings.json

• .mcp.json

Тъй като тези файлове се наследяват при клониране на хранилище, всяка зловредна конфигурация, внедрена в проект, може да се изпълни автоматично на машината на разработчика.

С други думи, конфигурацията се превърна във вектор за изпълнение на код.

Уязвимост 1: Remote Code Execution чрез Project Hooks

Claude Code поддържа „Hooks“ – автоматични команди, които се задействат в определени моменти от жизнения цикъл.

Изследователите демонстрираха, че зловредно хранилище може да дефинира hook, който се задейства при инициализация на сесията.

При клониране и отваряне на проекта произволни shell команди се изпълняват незабавно.
Диалозите за доверие от страна на потребителя не предотвратяват навреме изпълнението.

Това позволява:

• Създаване на reverse shell

• Изпълнение на произволни команди

• Тиха компрометация във фонов режим

Уязвимост 2: Заобикаляне на MCP съгласие (CVE-2025-59536)

Claude Code се интегрира с външни инструменти чрез Model Context Protocol (MCP).

Въпреки че след първоначалния доклад беше въведен диалог за съгласие, изследователите откриха заобикаляне чрез конфигурационни настройки:

• enableAllProjectMcpServers

• enabledMcpjsonServers

Това позволява автоматично одобрение и изпълнение на зловредни MCP сървъри преди реална интеракция с потребителя.

Резултатът отново е Remote Code Execution.

Уязвимост 3: Ексфилтрация на API ключове (CVE-2026-21852)

Изследователите установиха, че environment променливи, дефинирани в .claude/settings.json, могат да пренасочат API комуникацията.

Чрез модифициране на ANTHROPIC_BASE_URL атакуващите могат да прихванат изходящите API заявки.

Критично е, че пълният Anthropic API ключ се предава в открит текст в authorization header-а преди изрично потвърждение за доверие.

Откраднат API ключ може да позволи:

• Неоторизирана употреба на API

• Финансови злоупотреби

• Достъп до споделени работни пространства

• Непряко излагане на вътрешни екипни ресурси

Защо това е важно

Това не е типична уязвимост.

Тя демонстрира:

• Риск от изпълнение, базиран на конфигурация

• Supply chain експозиция чрез хранилища

• AI инструменти, внедрени в работния процес на разработчиците

• Изтичане на идентичности и API ключове преди съгласие

AI инструментите вече са част от управленската и изпълнителната плоскост.

Ако конфигурационните файлове не се третират като изпълним код, те се превръщат в невидим вектор за атака.

DIAMATIX Перспектива

Този случай потвърждава три архитектурни реалности:

1. Инструментите за разработка са високостойностни цели.

2. AI асистентите работят с привилегирован контекст.

3. Наследяването на конфигурации създава имплицитни вериги на доверие.

Атаката не експлоатира класическа програмна уязвимост.
Тя експлоатира предположения в работния процес.

Организациите следва да:

• Третират конфигурационните файлове в хранилища като изпълним риск

• Ограничат автоматичното изпълнение в development инструменти

• Избягват съхранение на продукционни API ключове локално

• Въведат стриктно управление на идентичностите за AI инструменти

• Наблюдават изходящата комуникация от development среди

AI подпомаганата разработка увеличава продуктивността.
Тя увеличава и имплицитните пътища за изпълнение.

Статус на отстраняване

Anthropic е:

• Подобрила диалозите за доверие

• Предотвратила автоматичното изпълнение на MCP преди съгласие

• Отложила всички мрежови операции, включително предаване на API ключове, до изрично одобрение

Разработчиците следва да обновят до последната версия на Claude Code.

Източници

Този анализ се основава на публично достъпни технически разкрития от Check Point Research и актуализации за сигурност на доставчиците от Anthropic.