Claude Code: Уязвимость, кража API ключей и удаленный код

Уязвимости Claude Code: кража API ключей и удаленный код

Специалисты в области кибербезопасности обнаружили серию критических брешей в системе безопасности Claude Code — интеллектуального помощника для программистов на базе искусственного интеллекта, разработанного компанией Anthropic. Выявленные недостатки открывают возможности для удаленного выполнения вредоносного кода и хищения конфиденциальных учетных данных API.

Согласно отчету, опубликованному исследователями Check Point Research, уязвимости эксплуатируют различные механизмы конфигурации ассистента, включая систему перехватчиков (Hooks), серверы Model Context Protocol (MCP) и переменные окружения. В результате, когда разработчик клонирует и открывает скомпрометированный репозиторий, злоумышленник может выполнить произвольные shell-команды и похитить API-ключи Anthropic.

Обнаруженные проблемы классифицируются по трем основным категориям:

• Код без идентификатора (CVSS 8.7) — Инъекция кода, возникающая из-за обхода подтверждения пользователя при первом запуске Claude Code в новом каталоге. Уязвимость позволяет выполнять произвольный код без дополнительного согласования через небезопасные хуки проекта, прописанные в файле .claude/settings.json. (Устранено в версии 1.0.87 от сентября 2025 года)

• CVE-2025-59536 (CVSS 8.7) — Уязвимость внедрения кода, которая автоматически инициирует выполнение произвольных shell-команд в момент инициализации инструментов при запуске Claude Code в зараженном каталоге. (Исправлено в версии 1.0.111 от октября 2025 года)

• CVE-2026-21852 (CVSS 5.3) — Недостаток защиты информации в процессе загрузки проекта, позволяющий вредоносному репозиторию похищать данные, включая API-ключи Anthropic. (Патч выпущен в версии 2.0.65 от января 2026 года)

Механика атаки выглядит следующим образом: если пользователь запускает Claude Code в репозитории, контролируемом злоумышленником, и этот репозиторий содержит файл настроек, перенаправляющий ANTHROPIC_BASE_URL на сторонний endpoint, то ассистент начинает отправлять API-запросы до того, как отобразит запрос на доверие. Это приводит к утечке активного API-ключа разработчика.

Иными словами, для компрометации достаточно просто открыть специально сформированный репозиторий. Это позволяет не только перехватить ключи, но и перенаправить аутентифицированный API-трафик на внешнюю инфраструктуру злоумышленника для последующего сбора учетных данных. Получив доступ, атакующий может внедриться глубоко в ИИ-инфраструктуру жертвы, что потенциально открывает доступ к общим файлам проекта, дает возможность модифицировать или удалять данные в облаке, загружать вредоносный контент и генерировать непредвиденные расходы за использование API.

Наиболее опасной является первая уязвимость, позволяющая проводить скрытые атаки на машине разработчика без какого-либо взаимодействия с пользователем после запуска проекта. Что касается CVE-2025-59536, она достигает схожего эффекта, но ключевое отличие заключается в том, что конфигурации, заданные через файлы .mcp.json и claude/settings.json, могут быть использованы для отмены явного согласия пользователя до начала взаимодействия с внешними инструментами через протокол MCP. Это достигается путем принудительной установки опции enableAllProjectMcpServers в значение true.

"Поскольку инструменты на базе ИИ получают возможность автономно выполнять команды, инициировать внешние интеграции и запускать сетевое взаимодействие, конфигурационные файлы фактически становятся частью исполнительного уровня, — комментируют эксперты Check Point. — То, что раньше считалось просто операционным контекстом, теперь напрямую влияет на поведение системы. Это фундаментально меняет модель угроз: риск больше не ограничивается запуском недоверенного кода — теперь он распространяется на простое открытие неблагонадежных проектов. В средах разработки на основе ИИ цепочка поставок начинается не только с исходного кода, но и с окружающих его слоев автоматизации".