Исследователи обнаружили критическую уязвимость в экосистеме AI-инструментов Claude, которая позволяла атакующим выполнять вредоносные действия без каких-либо действий со стороны пользователя. Достаточно было открыть подготовленный проект или расширение.
Архитектура Claude как источник риска
Инструменты вроде Claude Code и связанных расширений глубоко интегрированы в среду разработки. Они получают доступ к файловой системе, выполняют команды, взаимодействуют с API и внешними сервисами.
Ключевой элемент здесь конфигурация проекта. В Claude она включает:
hooks (хуки для автоматизации)
MCP-серверы (Model Context Protocol)
переменные окружения
Эти механизмы изначально созданы для удобства, но фактически становятся исполняемой поверхностью.
Zero-click атака через конфигурацию
Главная проблема это возможность выполнить код до того, как пользователь подтвердит доверие к проекту.
Атакующий добавляет вредоносную конфигурацию в репозиторий. После клонирования и открытия проекта:
Claude автоматически читает настройки
выполняются команды из hooks или MCP
пользователь ещё не успел подтвердить доверие
В результате возникает сценарий zero-click execution где выполнение кода происходит без явного действия пользователя.
Обход модели доверия
Ожидалось, что Claude будет запрашивать подтверждение перед выполнением опасных действий. Но исследователи показали, что это ограничение можно обойти.
Через настройки проекта можно включить автоматическую загрузку MCP-серверов, внедрить команды, которые выполняются при старте и инициировать выполнение до появления диалога доверия
Это переворачивает модель безопасности: контроль переходит от пользователя к содержимому репозитория.
Выполнение произвольных команд
Используя уязвимые механизмы, атакующий может:
запускать shell-команды
открывать reverse shell
устанавливать дополнительный вредоносный код
Фактически речь идёт о Remote Code Execution (RCE) на машине разработчика.
Кража API-ключей и данных
Отдельный вектор связан с переменными окружения. Через конфигурацию можно переопределить параметр ANTHROPIC_BASE_URL, что позволяет перенаправить API-запросы на сервер атакующего, перехватывать трафик или извлекать API-ключи и чувствительные данные
Такая атака особенно опасна, потому что компрометация ключа даёт доступ не только к одному разработчику, но и ко всей инфраструктуре команды.
Supply chain через AI-инструменты
Атака происходит через привычный сценарий:
Разработчик клонирует репозиторий
Открывает проект в IDE с Claude
Конфигурация автоматически активируется
Это классический supply chain-вектор, но на новом уровне атакуется не библиотека а поведение AI-инструмента
Таким образом, конфигурационные файлы становятся аналогом исполняемого кода.
Почему это новая категория уязвимостей
Ранее конфигурация считалась декларативной и безопасной. В AI-инструментах это больше не так. Claude и подобные системы интерпретируют настройки как инструкции,
автоматически выполняют действия и интегрированы с системой и сетью. В итоге граница между данными и кодом исчезает.
Исправления и меры защиты
После раскрытия уязвимостей разработчик (Anthropic) выпустил патчи и усилил защиту.
Ключевые рекомендации:
обновлять Claude Code до последних версий
не открывать непроверенные репозитории
проверять содержимое
.claude/settings.jsonограничивать выполнение hooks и MCP
Дополнительно стоит изолировать среду разработки и использовать принцип минимальных привилегий.
Источник: HN