Forschende von Check Point haben drei schwerwiegende Sicherheitslücken im KI-Entwicklungsassistenten Claude Code offengelegt. Die Schwachstellen ermöglichten unter anderem Remote Code Execution auf Entwicklerrechnern sowie den Diebstahl sensibler API‑Schlüssel – allein dadurch, dass ein präpariertes Repository in Claude Code geöffnet wurde. Die Vorfälle verdeutlichen, dass KI-gestützte Entwicklungswerkzeuge zu einem eigenständigen Angriffsziel in der Software-Supply-Chain geworden sind.
Projektkonfiguration in Claude Code als neuer Supply-Chain-Angriffsvektor
Claude Code nutzt eine projektbezogene Konfigurationsdatei .claude/settings.json, die direkt im Git-Repository abgelegt wird. Darüber werden zentrale Einstellungen wie Zugriffe auf externe Dienste, Hooks, MCP-Server (Model Context Protocol) und weitere Parameter gemeinsam im Team verwaltet. Was den Kollaborationskomfort erhöht, erweitert zugleich die Angriffsfläche: Jede berechtigte Person kann unbemerkt sicherheitskritische Einstellungen verändern.
Damit entsteht faktisch ein zusätzlicher Software-Supply-Chain-Layer. Ähnlich wie bei bekannten Supply-Chain-Angriffen auf Build-Systeme oder Paket-Repositories (z. B. SolarWinds, Codecov) kann ein manipulierter Projektzustand dafür sorgen, dass schädliche Konfigurationen automatisch bei allen Beteiligten aktiv werden – ohne dass diese bewusst fremden Code ausführen.
Repository als Konfigurationsträger: Risiko schon beim Oeffnen des Projekts
Im Gegensatz zu klassischen Bedrohungen, bei denen Entwickler aktiv Skripte starten oder Abhängigkeiten installieren müssen, reicht bei Claude Code bereits der bloße Projektaufruf. Der Assistent vertraut den im Repository hinterlegten Einstellungen standardmäßig. Genau dieses Vertrauensmodell nutzten die Forschenden, um praxisnahe Angriffsszenarien zu demonstrieren.
Erste Schwachstelle: Arbiträre Codeausführung über Hooks (CVSS 8,7)
Die erste, mit 8,7 auf der CVSS-Skala bewertete Schwachstelle betraf den Hook-Mechanismus von Claude Code. Hooks sind benutzerdefinierte Shell-Kommandos, die automatisiert bei bestimmten Aktionen im Projekt ausgeführt werden. In der untersuchten Version fehlte jegliche Rückfrage, bevor diese Befehle gestartet wurden. Enthielt ein Repository also einen bösartigen Hook, genügte das Öffnen des Projekts in Claude Code, um beliebigen Code auf dem Entwicklerrechner auszuführen.
In einem realen Angriff könnten so etwa Reverse Shells gestartet, Backdoors installiert oder weitere Schadsoftware nachgeladen werden. Anthropic hat das Verhalten in Claude Code 1.0.87 (August 2025) angepasst und zusätzliche Sicherheitsabfragen für benutzerdefinierte Kommandos eingeführt.
Zweite Schwachstelle: Missbrauch von MCP-Servern und Vertrauensdialog (CVE-2025-59536, CVSS 8,7)
Die zweite Lücke, CVE-2025-59536 (ebenfalls CVSS 8,7), betraf die Anbindung externer Werkzeuge über MCP-Server. Zwei Konfigurationsoptionen erlaubten es, alle MCP-Server automatisch als vertrauenswürdig zu markieren und damit die sonst vorgesehenen Bestätigungsdialoge zu umgehen. Ein präpariertes Projekt konnte so einen manipulierten MCP-Server aktivieren, ohne dass der Nutzer dies explizit genehmigte.
Besonders kritisch: Die Aktivierung erfolgte bereits beim Start von Claude Code – noch bevor das Fenster zur Vertrauensbestätigung für das Projekt eingeblendet wurde. Ein Angreifer konnte über den MCP-Server unbemerkt Kommandos ausführen, Projektdaten auslesen oder an externe Systeme exfiltrieren. Diese Schwachstelle wurde laut Hersteller in Version 1.0.111 (September 2025) behoben.
Dritte Schwachstelle: API‑Schlüssel-Diebstahl über ANTHROPIC_BASE_URL (CVE-2026-21852)
Die dritte Schwachstelle, CVE-2026-21852 (CVSS 5,3), hing mit der Umgebungsvariable ANTHROPIC_BASE_URL zusammen. Sie definiert den Endpoint für API-Aufrufe von Claude Code. Forschende konnten zeigen, dass diese Variable über die Projektkonfiguration so überschrieben werden konnte, dass sämtlicher Traffic des KI-Entwicklungsassistenten über einen vom Angreifer kontrollierten Proxy geleitet wurde.
Bei der Analyse des abgefangenen Datenverkehrs zeigte sich, dass Claude Code den API‑Schlüssel im Klartext in jeder Anfrage mitübermittelte. Zudem wurden die Anfragen bereits abgesetzt, bevor der Nutzer den Vertrauensdialog für das Projekt zu Gesicht bekam. Ein kompromittierter Schlüssel ermöglichte Zugriff auf alle Dateien im Claude-Code-Arbeitsbereich – inklusive Lesen, Löschen und Verändern über die API. Anthropic adressierte diese Schwachstelle in Version 2.0.65 (Januar 2026).
Sicherheitsimplikationen: KI-Entwicklungsassistenten als privilegierte Anwendungen behandeln
Die drei Sicherheitslücken machen deutlich, dass KI-Entwicklungsassistenten eine eigenständige Angriffsfläche bilden. Im Unterschied zu klassischen IDEs kombinieren sie Zugriff auf Source Code, lokales Dateisystem, Netzwerkressourcen und oft auch auf Sekrete wie API‑Schlüssel und Tokens. Damit ähnelt ihr Risikoprofil eher dem von Build-Servern oder CI/CD-Pipelines, die in Leitlinien von NIST, ENISA und OWASP seit Jahren als besonders schützenswerte Komponenten eingestuft werden.
Empfehlungen für Unternehmen und Entwicklungsteams
Organisationen sollten Claude Code und vergleichbare KI-Entwicklungsassistenten als privilegierte Anwendungen betrachten und ihre Sicherheitsarchitektur entsprechend anpassen. Dazu gehört zunächst, Konfigurationsdateien wie .claude/settings.json systematisch zu prüfen – insbesondere in externen, Open-Source- oder Proof-of-Concept-Repositories. Automatisierte Scans nach riskanten Einstellungen (z. B. Hooks, MCP-Autotrust, modifizierte Endpoints) können hier helfen.
Ebenfalls zentral ist ein striktes Geheimnismanagement. API‑Schlüssel sollten dem Prinzip der geringsten Privilegien folgen, separate Schlüssel für Entwicklung und Produktion verwenden und mit Limits sowie Widerrufsmechanismen versehen sein. Moderne Secret-Management-Lösungen und regelmäßige Rotation der Schlüssel reduzieren den Schaden im Kompromittierungsfall erheblich.
Aus Sicht der Infrastruktur-Sicherheit empfiehlt es sich, KI-Assistenten in isolierten Umgebungen zu betreiben – etwa in Containern, separaten Benutzerprofilen oder Sandboxes mit begrenzten Rechten. Network-Segmentation und ausgehende Filter (Egress-Kontrollen) können verhindern, dass ein kompromittiertes Tool ungehindert mit externen Command-and-Control-Servern kommuniziert.
Schließlich sollten Teams Claude Code zeitnah auf aktuelle Versionen (mindestens 2.0.65) aktualisieren und Sicherheitsbulletins des Herstellers aktiv verfolgen. Schulungen für Entwickler zu Themen wie Supply-Chain-Angriffen, Konfigurationsrisiken und dem sicheren Umgang mit KI-Tools sind ein essenzieller Baustein moderner DevSecOps-Programme.
Die Vorfälle rund um die Claude-Code-Sicherheitslücken zeigen, dass etablierte Sicherheitsmodelle für die Softwareentwicklung an die Realität von KI-gestützten Werkzeugen angepasst werden müssen. Unternehmen, die KI-Entwicklungsassistenten frühzeitig in ihre Bedrohungsanalysen und Sicherheitsrichtlinien integrieren, Konfigurationen streng kontrollieren und sensible Schlüssel konsequent schützen, reduzieren nicht nur ihr aktuelles Risiko – sie stärken zugleich die Resilienz ihrer gesamten Software-Supply-Chain gegenüber künftigen, zunehmend zielgerichteten Angriffen.
