Исследователи в сфере кибербезопасности обнаружили ряд серьёзных уязвимостей в Claude Code, которые могли позволять злоумышленникам не только выполнять произвольные команды на чужих компьютерах, но и извлекать конфиденциальные API-ключи пользователей.
По данным исследования от Check Point Research, проблемы были связаны с тем, как инструмент обрабатывает конфигурационные файлы проектов. Файлы вроде .claude/settings.json и .mcp.json, предназначенные для настройки, могли использоваться для скрытого исполнения вредоносных сценариев, если разработчик открыл репозиторий из ненадёжного источника.
Какие именно проблемы нашли
По сути, все уязвимости делятся на три основные категории:
Обход подтверждения запуска (No CVE, CVSS 8.7)
В старых версиях при открытии проекта в новом каталоге система могла обойти запрос явного согласия пользователя и выполнить произвольный код через механизмы Hooks. Это было исправлено в версии 1.0.87 ещё в сентябре 2025 года.Удалённое выполнение кода (CVE-2025-59536, CVSS 8.7)
Похожая проблема: вредоносная конфигурация могла автоматически запускать shell-команды при инициализации инструмента без подтверждения пользователя. Это было исправлено в 1.0.111 в октябре 2025 г.Утечка ключей API (CVE-2026-21852, CVSS 5.3)
Ещё одна уязвимость позволяла злоумышленнику через специально подготовленный репозиторий изменить переменнуюANTHROPIC_BASE_URL, перенаправляя запросы API на свой сервер ещё до того, как отображалось диалоговое окно доверия. В результате инструмент отправлял активный API-ключ в открытом виде, что позволило его захватить. Этот баг был устранён в версии 2.0.65 в январе 2026 г.
Проблемы позволяли злоумышленнику, имеющему контроль над репозиторием:
выполнять произвольный код на машине разработчика просто при открытии проекта;
перехватывать авторизационные данные и API-ключи;
перенаправлять трафик и вмешиваться в рабочие процессы через API;
потенциально получать доступ к облачным хранилищам и изменять файлы проекта.
Это подчёркивает, что в контексте современных AI-ассистентов угрозы больше не ограничиваются запуском чужого кода т.к. теперь достаточно просто открыть проект из ненадёжного источника, чтобы инструмент сам стал источником уязвимости.
Все перечисленные уязвимости были обнаружены исследователями, переданы разработчикам Anthropic и исправлены в обновлениях ещё до публичного раскрытия.
Однако сама ситуация стала важным сигналом: даже инструменты с ИИ, созданные для помощи в разработке, теперь могут превращаться в новые векторы атак в цепочке поставок программного обеспечения.