Kritische Sicherheitslücken in Anthropics Claude Code aufgedeckt

Kritische Schwachstellen in Anthropics KI-basiertem Coding Tool „Claude Code“ (CVE-2025-59536, CVE-2026-21852) hat Check Point Research (CPR) identifiziert: Laut der Sicherheitsforschungsabteilung von Check Point Software Technologies Ltd ermöglichten diese Schwachstellen die Ausführung von Remote-Code und den Diebstahl von API-Anmeldedaten. Dadurch konnten Angreifer über manipulierte Repository-Dateien API-Schlüssel stehlen und Code auf Entwickler-Endpunkten ausführen. Patches sind bereits verfügbar.

Durch den Missbrauch integrierter Mechanismen wie Hooks, Model Context Protocol (MCP)-Integrationen und Umgebungsvariablen konnten Angreifer beliebige Shell-Befehle ausführen und API-Schlüssel exfiltrieren, wenn Entwickler nicht vertrauenswürdige Projekte klonten und öffneten. Über das Starten des Tools hinaus war dafür kein weiteres Zutun durch den Nutzer erforderlich.

Traditionell wurden Repository-Konfigurationsdateien als passive Metadaten betrachtet, die lediglich Betriebsparameter festlegen. Mit dem Aufkommen KI-gestützter Agenten-Tools wie Claude Code hat sich dies grundlegend geändert. Diese Tools sind darauf ausgelegt, Workflows autonom zu optimieren, wodurch die Grenze zwischen Konfiguration und Code-Ausführung verschwimmt.

Die Sicherheitsforscher von CPR haben drei spezifische Kategorien identifiziert, in denen diese Grenzen missbraucht wurden:

• Versteckte Befehlsausführung via Claude Hooks: Claude Code verfügt über Automatisierungsfunktionen, sogenannte Hooks, die beim Start einer Sitzung vordefinierte Aktionen auslösen. CPR demonstrierte, dass dieser Mechanismus missbraucht werden kann, um willkürliche Shell-Befehle automatisch zu starten, sobald ein Entwickler ein Projektverzeichnis betritt. Da dies bei der Initialisierung des Tools geschieht, bleibt dem Nutzer keine Zeit, die Aktivität zu bemerken oder zu verhindern.
• Umgehung der MCP-Zustimmung (CVE-2025-59536): Das Tool nutzt das Model Context Protocol (MCP), um externe Dienste beim Öffnen eines Projekts zu integrieren. Claude Code erfordert eigentlich eine explizite Nutzerzustimmung vor der Initialisierung solcher Dienste, trotzdem fanden die Forscher heraus, dass Repository-gesteuerte Einstellungen diese Sicherheitsabfrage überschreiben können. Dadurch wird Software gestartet, bevor Vertrauen hergestellt wurde. Das verlagert die Kontrolle vom Nutzer auf das (potenziell bösartige) Repository.
• API-Key-Diebstahl vor der Vertrauensbestätigung (CVE-2026-21852): Die schwerwiegendste Schwachstelle betrifft die Manipulation der API-Kommunikation. Durch eine gezielte Konfigurationsänderung konnte der gesamte API-Verkehr, inklusive des vollständigen Autorisierungs-Headers mit dem aktiven API-Key des Entwicklers, an einen Server des Angreifers umgeleitet werden. Dies geschah bereits beim Öffnen des Verzeichnisses, noch bevor der Nutzer eine Entscheidung über die Vertrauenswürdigkeit des Projekts treffen konnte.

Auswirkungen auf Unternehmen: Risiko jenseits des Desktops

In modernen Cloud-Entwicklungsumgebungen ist ein kompromittierter API-Key weit mehr als nur der Verlust eines einzelnen Zugangs. Das „Workspaces“-Feature von Anthropic ermöglicht es mehreren Schlüsseln, Zugriff auf dieselben cloudbasierten Projektdateien zu teilen. Mit einem gestohlenen Schlüssel kann ein Angreifer:

• auf alle geteilten Projektdateien innerhalb des Workspaces zugreifen,
• in der Cloud gespeicherte Daten modifizieren oder löschen,
• bösartige Inhalte in bestehende Repositories hochladen sowie
• unerwartete und potenziell enorme API-Nutzungskosten verursachen.

Damit skaliert ein individueller Fehler eines Entwicklers (das Klonen eines Repositories) unmittelbar zu einem teamweiten oder unternehmenskritischen Vorfall.

Ein neues Bedrohungsmodell für die KI-Lieferkette

Die Ergebnisse von Check Point Research unterstreichen einen strukturellen Wandel in der Cyber-Sicherheit. Das Risiko beschränkt sich nicht mehr darauf, dass ein Nutzer bösartigen Code aktiv ausführt. In einer Welt KI-gestützter Automatisierung beginnt das Risiko bereits beim Öffnen eines Projekts.

Da KI-Tools zunehmend autonom Befehle ausführen, externe Integrationen initialisieren und Netzkommunikation starten, werden Konfigurationsdateien zum neuen Primärziel für Lieferketten-Angriffe. Folgende Sicherheitstipps sollten Unternehmen und Nutzer beherzigen:

• Tools auf dem neuesten Stand halten: Verantwortliche sollten sicherstellen, dass immer die neueste Version von Claude Code installiert ist. Da alle identifizierten Schwachstellen behoben wurden, bietet die aktuelle Version den effektivsten Schutz.
• Überprüfung von Konfigurationsverzeichnissen vor Projektstart: Vor dem Öffnen von Projekten sollten toolspezifische Ordner wie .claude/, .vscode/ und ähnliche Verzeichnisse auf verdächtige Inhalte untersucht werden.
• Beachtung von Tool-Warnungen: Warnhinweise zu potenziell unsicheren Dateien müssen selbst in legitim erscheinenden Repositories konsequent ernst genommen werden.
• Sorgfalt bei Konfigurationsänderungen: Änderungen an der Konfiguration sollten während der Code-Überprüfung mit derselben Sorgfalt wie der Quellcode selbst behandelt werden.
• Hinterfragen komplexer Setup-Anforderungen: Ungewöhnliche Anforderungen an das Setup, die für den offensichtlichen Umfang eines Projekts übermäßig komplex erscheinen, sollten kritisch hinterfragt werden.

Behebung und Offenlegung

Check Point Research hat eng mit Anthropic zusammengearbeitet, um diese Schwachstellen im Rahmen eines verantwortungsvollen Offenlegungsprozesses zu beheben. Anthropic hat umgehend folgende Maßnahmen implementiert:

• Die Zustimmungsabfragen für Nutzer wurden deutlich verstärkt.
• Verhinderung der Ausführung externer Tools ohne explizite Genehmigung.
• Blockierung sämtlicher API-Kommunikation, bis der Nutzer das Projektverzeichnis verifiziert hat.

Alle gemeldeten Probleme wurden vor der öffentlichen Bekanntgabe vollständig behoben.

Oded Vanunu ist Head of Product Vulnerability Research bei Check Point.

Weitere Informationen im Blog von CPR: