Check Point Research a publicat marți detalii despre trei vulnerabilități de securitate în instrumentul de dezvoltare în linie de comandă Claude Code al Anthropic, care ar fi putut permite atacatorilor să execute comenzi arbitrare pe computerele dezvoltatorilor și să fure credențiale API — pur și simplu atrăgându-i să deschidă un repository de cod malițios.
Vulnerabilitățile exploatau funcționalitatea Hooks din Claude Code, integrarea Model Context Protocol (MCP) și modul în care gestionează variabilele de mediu. În fiecare caz, atacul începea în același mod: un fișier de configurare modificat malițios, integrat într-un repository, declanșa un comportament rău intenționat în momentul în care un dezvoltator lansa Claude Code în directorul proiectului, adesea înainte ca utilizatorul să vadă sau să răspundă la vreo solicitare de confirmare.
Toate cele trei vulnerabilități au fost corectate de Anthropic. Două au primit identificatori CVE — CVE-2025-59536 și CVE-2026-21852 — în timp ce prima a fost urmărită printr-un GitHub Security Advisory (GHSA-ph6w-f82w-28w6) fără un CVE.
Fișierele de configurare ca vectori de atac
Rădăcina problemei constă în modul în care Claude Code este conceput pentru colaborarea în echipă. Instrumentul citește setările la nivel de proiect dintr-un fișier .claude/settings.json stocat în repository, ceea ce înseamnă că orice contributor cu acces la commit poate modifica configurații care se aplică automat fiecărui dezvoltator care clonează proiectul.
Cercetătorii de la Check Point, Aviv Donenfeld și Oded Vanunu, au descoperit că prima vulnerabilitate — o vulnerabilitate de injectare de cod în funcționalitatea Hooks din Claude Code — permitea comenzilor shell definite în acel fișier de setări să se execute automat la pornirea unei sesiuni, fără niciun prompt suplimentar de confirmare. Cercetătorii au demonstrat un reverse shell ca dovadă de concept pentru a arăta potențialul de compromitere completă a sistemului. Anthropic a remediat problema în versiunea 1.0.87 în august 2025, după ce Check Point a raportat-o pe 21 iulie 2025.
A doua vulnerabilitate, identificată cu CVE-2025-59536 și cu un scor CVSS de 8.7, permitea atacatorilor să ocolească dialogul de consimțământ îmbunătățit de Anthropic pentru inițializarea serverului MCP. Prin setarea opțiunii “enableAllProjectMcpServers” la true în configurația repository-ului, cercetătorii au declanșat executarea de comenzi înainte ca dialogul de confirmare să apară măcar pe ecran. Anthropic a corectat această problemă în versiunea 1.0.111 în octombrie 2025.
Furt de chei API și expunerea workspace-urilor
A treia vulnerabilitate, CVE-2026-21852, a adoptat o abordare diferită. În loc să execute cod local, aceasta redirecționa traficul API al Claude Code către un server controlat de atacator prin suprascrierea variabilei de mediu ANTHROPIC_BASE_URL din fișierul de setări al proiectului. Deoarece Claude Code inițializa cereri API înainte de a afișa promptul de confirmare, cheia API Anthropic a dezvoltatorului era transmisă în text clar către endpoint-ul atacatorului fără a fi necesară nicio interacțiune din partea utilizatorului.
Check Point a avertizat că impactul unei chei API furate depășea simpla fraudă de facturare. Funcția Workspaces de la Anthropic permite mai multor chei API să partajeze accesul la fișiere de proiect stocate în cloud, ceea ce înseamnă că o singură cheie compromisă ar putea oferi unui atacator acces de citire și scriere la resursele partajate ale unei întregi echipe. Cercetătorii au demonstrat, de asemenea, că puteau ocoli restricțiile de descărcare pentru fișierele din workspace folosind instrumentul de execuție cod al Claude pentru a regenera fișiere încărcate ca artefacte descărcabile.
Anthropic a remediat problema cheii API asigurându-se că nicio cerere de rețea nu este inițiată înainte ca utilizatorii să confirme dialogul de confirmare și a publicat CVE-2026-21852 pe 21 ianuarie 2026. Remedierea este inclusă în versiunea 2.0.65 și ulterior.
O amenințare în creștere pentru lanțul de aprovizionare AI
“Capacitatea de a executa comenzi arbitrare prin fișiere de configurare controlate de depozit a creat riscuri severe pentru lanțul de aprovizionare, unde o singură modificare malițioasă ar putea compromite orice dezvoltator care lucrează cu depozitul afectat”, au scris cercetătorii de la Check Point. Anthropic nu a răspuns la o solicitare de comentariu din partea The Register.
Dezvăluirea vine în contextul în care instrumentele de programare bazate pe AI se integrează rapid în fluxurile de lucru de dezvoltare enterprise, extinzând suprafața de atac în moduri pe care modelele tradiționale de securitate nu le-au abordat pe deplin. “Riscul nu mai este limitat la rularea de cod nesigur — acum se extinde și la deschiderea de proiecte nesigure”, a declarat Check Point.
Surse:
https://www.theregister.com/2026/02/26/clade_code_cves/
https://thehackernews.com/2026/02/claude-code-flaws-allow-remote-code.html