Исследователи компании Check Point выявили три серьёзные уязвимости в ИИ-ассистенте для разработчиков Claude Code, которые позволяли злоумышленнику выполнить произвольный код на машине жертвы и похитить ключи API. Для успешной атаки было достаточно, чтобы разработчик клонировал и открыл специально подготовленный вредоносный репозиторий в Claude Code — без необходимости запускать подозрительные скрипты вручную.
Как конфигурация проектов в Claude Code превратилась в вектор атаки
Claude Code использует специальный конфигурационный файл .claude/settings.json, который хранится прямо в репозитории проекта. Такая модель позволяет команде разработчиков автоматически делиться едиными настройками инструмента: доступом к внешним сервисам, хуками, MCP-серверами и другими параметрами. Однако этот же механизм, по сути, превращается в новый слой цепочки поставок (software supply chain): любой участник с правами на коммит способен незаметно изменить конфигурацию и внедрить вредоносные настройки, которые затем автоматически применятся у всех коллег.
Репозитории как носитель настроек: расширение поверхности атаки
Традиционно угрозы для разработчиков ассоциировались с запуском непроверенного кода или установкой сторонних зависимостей. В случае с Claude Code сам факт открытия проекта становится потенциально опасным. Конфигурация хранится рядом с исходным кодом, и ИИ-ассистент доверяет этим данным по умолчанию, что и позволило исследователям Check Point продемонстрировать несколько практических сценариев атак.
Первая уязвимость: произвольное выполнение кода через hooks (CVSS 8,7)
Первая уязвимость (без присвоенного идентификатора CVE, оценка 8,7 по шкале CVSS) была связана с механизмом hooks — пользовательских shell-команд, которые Claude Code может автоматически выполнять на разных этапах работы с проектом. Эти команды задаются в конфигурации репозитория, и, как выяснилось, инструмент не запрашивал у пользователя подтверждения перед их запуском. В результате достаточно было просто открыть проект, содержащий вредоносный hook, — и произвольный код выполнялся на машине разработчика.
В демонстрации эксперты запускали стороннее приложение, но на практике на его месте мог оказаться, например, reverse shell, обеспечивающий удалённый доступ к системе жертвы. Уязвимость была устранена в версии Claude Code 1.0.87, выпущенной в августе 2025 года, где был усилен контроль за выполнением пользовательских команд.
Вторая уязвимость: обход доверия через MCP-серверы (CVE-2025-59536, CVSS 8,7)
Второй баг, получивший идентификатор CVE-2025-59536 и оценку 8,7 по CVSS, затронул механизм MCP-серверов (Model Context Protocol), через которые Claude Code взаимодействует с внешними инструментами и сервисами. После выпуска первого исправления исследователи обнаружили, что две конфигурационные опции позволяют автоматически одобрять любые MCP-серверы, полностью обходя диалоги подтверждения доверия.
Критичность проблемы заключалась в том, что вредоносный MCP-сервер мог быть активирован уже при запуске Claude Code, ещё до появления окна, в котором пользователь должен был подтвердить доверие к проекту. Это открывало возможность незаметного запуска команд, доступа к данным проекта или их отправки на внешние серверы. Данная уязвимость была закрыта в версии 1.0.111, выпущенной в сентябре 2025 года.
Третья уязвимость: кража API‑ключей через подмену ANTHROPIC_BASE_URL (CVE-2026-21852)
Третья уязвимость, зарегистрированная как CVE-2026-21852 с оценкой 5,3 по CVSS, была связана с обработкой переменной окружения ANTHROPIC_BASE_URL. Этот параметр определяет конечную точку (endpoint), к которой Claude Code обращается для работы с API. Исследователи показали, что его можно переопределить через конфигурацию проекта, направив весь трафик ИИ-ассистента через контролируемый злоумышленником прокси-сервер.
Анализ перехваченного трафика продемонстрировал, что в каждом запросе Claude Code передавал API‑ключ в открытом виде. Более того, как отметили в Anthropic, запросы выполнялись ещё до отображения пользователю диалога о доверии к проекту, что делало утечку ключа полностью автоматической. Похищенный ключ предоставлял доступ ко всем файлам внутри рабочего пространства Claude Code: через API можно было загружать, удалять и модифицировать чужие файлы. Исправление было выпущено в версии 2.0.65 в январе 2026 года.
Как уязвимости ИИ-ассистентов меняют модель угроз для разработки
Обнаруженные уязвимости демонстрируют важный тренд: ИИ-ассистенты для разработчиков становятся самостоятельной поверхностью атаки. В отличие от классических IDE, такие инструменты одновременно имеют доступ к коду, к рабочему пространству, к сетевым ресурсам и к секретам (ключам API, токенам, учетным данным). В результате просто открытие незнакомого репозитория в Claude Code может приводить к выполнению кода, компрометации секретов или несанкционированному доступу к файлам.
Рекомендации для команд разработки и безопасности
С учётом выявленных уязвимостей эксперты по кибербезопасности рекомендуют рассматривать ИИ-ассистентов вроде Claude Code как привилегированные приложения и внедрять дополнительные меры контроля:
Во‑первых, тщательно проверять содержимое конфигурационных файлов (.claude/settings.json) перед их использованием, особенно в сторонних или открытых репозиториях.
Во‑вторых, ограничивать привилегии API‑ключей, использовать принцип наименьших прав и отдельные ключи для разработки, снабжённые лимитами и механизмами отзыва.
В‑третьих, по возможности запускать ИИ-ассистентов в изолированных средах (sandbox, отдельные профили или контейнеры), уменьшая потенциальный ущерб при компрометации.
В‑четвёртых, оперативно обновлять Claude Code до последних версий (не ниже 2.0.65) и отслеживать бюллетени безопасности вендора.
В‑пятых, обучать разработчиков распознавать риски, связанные с открытием недоверенных проектов и автоматическим выполнением конфигураций.
История с уязвимостями Claude Code подчёркивает: по мере интеграции ИИ в процессы разработки классические подходы к безопасности уже недостаточны. Конфигурационные файлы, механизмы доверия и API‑ключи становятся столь же критичными активами, как и исходный код. Компании, которые заранее пересмотрят свои модели угроз, внедрят защиту для ИИ‑инструментов и обучат команды новым практикам безопасности, получат заметное преимущество — как в снижении рисков, так и в устойчивости ко всё более изощрённым атакам на цепочку разработки.
