Badacze z Check Point Research ujawnili trzy poważne luki bezpieczeństwa w popularnym narzędziu AI dla programistów - Anthropic Claude Code. Najgroźniejsza z nich pozwalała na zdalne przejęcie kontroli nad komputerem developera przez samo sklonowanie złośliwego repozytorium.
- Trzy luki w Claude Code umożliwiały zdalne wykonanie kodu i kradzież kluczy API
- Najgroźniejsza luka (CVSS 8.7) pozwalała na uruchamianie dowolnych poleceń powłoki
- Wszystkie podatności wykorzystywały plik .claude/settings.json w repozytorium
- Luki zostały zgłoszone Anthropic w 2025 roku i już załatane
- Claude Code Security - nowa funkcja zabezpieczająca jest w fazie testów
Plik konfiguracyjny jako brama dla hakerów
Aviv Donenfeld i Oded Vanunu z Check Point Research odkryli, że wszystkie trzy luki wykorzystywały jeden wspólny wektor ataku - plik .claude/settings.json przechowywany bezpośrednio w repozytorium projektu.
Pierwsza i najgroźniejsza podatność (CVE oznaczone jako CVSS 8.7) pozwalała uruchamiać dowolne polecenia powłoki przez mechanizm Hooks przy starcie sesji. Co gorsza? Wszystko działo się bez dodatkowego potwierdzenia użytkownika.
„The ability to execute arbitrary commands through repository-controlled configuration files created severe supply chain risks, where a single malicious commit could compromise any developer working with the affected repository” - stwierdzili badacze z Check Point Research.
Trzy sposoby na przejęcie kontroli
Druga luka (CVE-2025-59536) działała jeszcze bardziej podstępnie. Parametr enableAllProjectMcpServers w ustawieniach projektu powodował wykonanie złośliwego kodu zanim użytkownik zdążył przeczytać dialog ostrzegawczy MCP.
Trzecia podatność (CVE-2026-21852, CVSS 5.3) z kolei pozwalała na kradzież klucza API dewelopera. Przez zmienną ANTHROPIC_BASE_URL dane były wysyłane na serwer atakującego jeszcze przed wyświetleniem jakiegokolwiek okna dialogowego.
Jak tłumaczy Anthropic: „If a user started Claude Code in an attacker-controller repository, and the repository included a settings file that set ANTHROPIC_BASE_URL to an attacker-controlled endpoint, Claude Code would issue API requests before showing the trust prompt, including potentially leaking the user’s API keys”.
Dlaczego Claude Code był bardziej narażony?
Problem tkwił w architekturze narzędzia. W przeciwieństwie do GitHub Copilot czy Cursor, które działają w izolowanych środowiskach IDE, Claude Code korzysta z dostępu terminalowego. To oznaczało znacznie większe możliwości dla potencjalnych ataczkujących.
Dla zwykłego programisty scenariusz ataku wyglądał prosto: sklonowanie złośliwego repo i uruchomienie Claude mogło skończyć się przejęciem całej maszyny lub kradzieżą klucza API. A przez to - dostępem do całego Workspace zespołu.
Co z bezpieczeństwem teraz?
Wszystkie luki zostały zgłoszone Anthropic między lipcem a październikiem 2025 roku. Poprawki wdrożono odpowiednio w sierpniu, wrześniu i styczniu tego roku.
Co więcej, od 20 lutego 2026 roku dostępna jest nowa funkcja Claude Code Security - na razie w ograniczonej wersji badawczej. Ma ona lepiej chronić przed podobnymi atakami w przyszłości.
Sprawa pokazuje jednak szerszy problem branży narzędzi AI dla programistów. W erze szybkiego rozwoju agentycznych asystentów kodowania pliki konfiguracyjne projektów stają się de facto kodem wykonywalnym. I muszą być traktowane z taką samą ostrożnością jak każdy inny fragment kodu.
Źródło: PurePC
Komentarze