Исследователи из компании Check Point обнаружили три уязвимости в ИИ-ассистенте для разработчиков Claude Code. Проблемы позволяли выполнять произвольный код на машине жертвы и похищать ключи API. Для атаки достаточно было клонировать вредоносный репозиторий.
Все три найденных бага были связаны с тем, как Claude Code работает с конфигурационными файлами проектов. Инструмент хранит настройки прямо в репозитории (в файле .claude/settings.json), чтобы все участники команды автоматически получали единую конфигурацию. В итоге любой контрибьютор с правами на коммит имел возможность внедрить вредоносные настройки.
Первая уязвимость не имеет идентификатора CVE (8,7 балла по шкале CVSS) и затрагивала механизм хуков (hooks) — пользовательских шелл-команд, которые выполняются на разных этапах работы инструмента. Хуки определяются в конфигурационном файле репозитория, и Claude Code не требовал никакого подтверждения перед их запуском. Достаточно было открыть проект, и вредоносный код срабатывал автоматически.
Эксперты продемонстрировали эксплуатацию этой проблемы на примере запуска стороннего приложения, подчеркивая, что на его месте мог оказаться реверс-шелл. Проблему исправили в версии 1.0.87 в августе 2025 года.
Вторая уязвимость (CVE-2025-59536, 8,7 балла по шкале CVSS) эксплуатировала механизм MCP-серверов (Model Context Protocol). После выхода первого патча исследователи нашли способ его обойти: две настройки в конфигурации позволяли автоматически одобрить любые MCP-серверы, минуя запросы на подтверждение. Вредоносная команда срабатывала при запуске Claude Code — еще до того, как разработчик успевал увидеть диалог о доверии к проекту. Патч вышел в сентябре 2025 года (версия 1.0.111).
Третья уязвимость (CVE-2026-21852, 5,3 балла по шкале CVSS) позволяла похищать ключи API. Переменная ANTHROPIC_BASE_URL, определяющая эндпоинт для обращений к API, могла быть переопределена через конфигурацию проекта. Исследователи направили трафик Claude Code через свой прокси и обнаружили, что каждый запрос содержал API-ключ в открытом виде. Как пояснили в Anthropic, Claude Code отправлял запросы до показа диалога о доверии, и ключ утекал автоматически.
Украденный ключ открывал доступ ко всем файлам в рабочем пространстве (workspace): через API можно было загружать, удалять и модифицировать чужие файлы. Патч был выпущен в январе 2026 года (версия 2.0.65).
По мнению исследователей, интеграция ИИ в процессы разработки создает новые поверхности для атак: теперь угрозой становится не только запуск недоверенного кода, но и само открытие недоверенного проекта. Специалисты подчеркивают, что это в корне меняет модель угроз.
