Thought Leadership
Die Sicherheitsforscher von Check Point Research haben mehrere kritische Schwachstellen im KI-gestützten Entwicklungstool „Claude Code“ des Unternehmens Anthropic aufgedeckt.
Die Lücken ermöglichten unter bestimmten Bedingungen die Ausführung von Schadcode aus der Ferne sowie den Diebstahl sensibler API-Zugangsdaten.
Gegenstand der Untersuchung ist ein grundlegender Wandel: Konfigurationsdateien in Softwareprojekten gelten traditionell als passive Einstellungen. Bei KI-gestützten Agenten-Tools wie Claude Code können sie jedoch aktive Prozesse auslösen.
Das Tool ist darauf ausgelegt, Entwicklungsabläufe automatisiert zu optimieren. Genau diese Automatisierung eröffnete Angreifern neue Möglichkeiten. Laut Check Point Research reichte es aus, ein manipuliertes Projekt aus einem Repository zu klonen und zu öffnen. Weitere Interaktionen waren nicht erforderlich.
Drei Angriffswege identifiziert
Die Forscher beschrieben drei zentrale Schwachstellenkategorien:
Erstens konnten sogenannte Hooks missbraucht werden. Diese automatischen Mechanismen führen beim Start des Tools definierte Aktionen aus. Angreifer konnten darüber eigene Shell-Befehle einschleusen, die unmittelbar beim Öffnen eines Projektordners gestartet wurden.
Zweitens ließ sich die vorgesehene Nutzerzustimmung für externe Integrationen umgehen. Über manipulierte Repository-Einstellungen konnten Dienste initialisiert werden, bevor der Anwender deren Vertrauenswürdigkeit bestätigt hatte.
Drittens war es möglich, API-Kommunikation umzuleiten. Dabei wurde der vollständige Autorisierungs-Header, einschließlich des aktiven API-Schlüssels, an einen Server des Angreifers übertragen, noch bevor der Nutzer das Projekt als vertrauenswürdig einstufen konnte. Diese Schwachstelle wurde unter einer eigenen CVE-Nummer erfasst.
Weitreichende Folgen für Unternehmen
Kritisch ist der Vorfall in Cloud-basierten Entwicklungsumgebungen. Wenn mehrere Entwickler über geteilte Workspaces arbeiten, kann ein kompromittierter API-Schlüssel weitreichende Auswirkungen haben. Ein Angreifer könnte auf gemeinsam genutzte Projektdateien zugreifen, Inhalte verändern oder löschen und zusätzliche Schadkomponenten in Repositories einbringen. Auch hohe, ungewollte API-Kosten wären möglich. Damit würde aus einer einzelnen Fehlentscheidung eines Entwicklers schnell ein unternehmensweiter Sicherheitsvorfall.
Die Analyse zeigt einen strukturellen Wandel im Sicherheitsdenken. In KI-gestützten Umgebungen beginnt das Risiko nicht erst bei der aktiven Ausführung von Code, sondern bereits beim Öffnen eines Projekts.
Da moderne Tools eigenständig Befehle ausführen, Integrationen starten und Netzwerkverbindungen aufbauen, verschieben sich die Vertrauensgrenzen. Konfigurationsdateien werden damit zu einem potenziellen Einfallstor für Lieferkettenangriffe.
Reaktion des Herstellers und Schutzmaßnahmen
Die Schwachstellen wurden im Rahmen eines Offenlegungsverfahrens an Anthropic gemeldet und nach Angaben der Beteiligten zeitnah behoben. Die Sicherheitsabfragen für externe Integrationen wurden verschärft, die Ausführung externer Tools stärker eingeschränkt und API-Kommunikation blockiert, bis ein Projekt ausdrücklich als vertrauenswürdig eingestuft wird.
Check Point empfiehlt Unternehmen, Entwicklungswerkzeuge stets aktuell zu halten, Konfigurationsordner vor dem Öffnen neuer Projekte sorgfältig zu prüfen und Warnhinweise nicht zu ignorieren. Zudem sollten Konfigurationsänderungen mit derselben Aufmerksamkeit überprüft werden wie Quellcode selbst.
Der Vorfall macht deutlich: Mit der zunehmenden Integration von KI in Entwicklungsprozesse entstehen neue Angriffsflächen. Sicherheitsstrategien müssen diese veränderten Rahmenbedingungen berücksichtigen, um Risiken frühzeitig zu erkennen und zu begrenzen.
