Один коммит — и код с вредоносным сюрпризом запустился на ПК всех коллег. Три дыры в Claude Code наконец пропатчили
NewsMakerДобавил хук в .claude/settings.json — получил коллективное RCE.
Уязвимости в Claude Code могли превратить обычное клонирование репозитория в точку входа для атаки на рабочую машину разработчика. Исследователи Check Point утверждают, что в ряде сценариев злоумышленнику было достаточно добавить вредоносные настройки в проект, дождаться, пока кто-то из команды склонирует и откроет репозиторий, и затем получить удалённое выполнение команд или перехватить ключи Anthropic API. По итогам работы специалисты нашли три проблемы, передали их Anthropic, а разработчик инструмента выпустил исправления для всех трёх и присвоил CVE двум из них.
Check Point подчёркивает, что речь не только о конкретных багах, а о более широком риске для цепочки поставок . Компании всё активнее встраивают ИИ-инструменты для программирования в корпоративные процессы, и вместе с этим конфигурационные файлы начинают работать как новый слой, через который можно атаковать разработчиков. Опасность возникала из-за того, что настройки Claude Code можно хранить на уровне проекта прямо в репозитории и автоматически применять их при работе всей команды.
Claude Code изначально спроектирован так, чтобы упрощать совместную разработку. Для этого он поддерживает проектные конфигурационные файлы, которые лежат в репозитории, например .claude/settings.json. Когда разработчик клонирует проект, настройки подтягиваются автоматически и применяются так же, как у коллег. По данным исследователей, это удобство становится уязвимостью, если злоумышленник получает возможность коммитить изменения в репозиторий. Любой участник с правами на коммит мог изменить конфигурацию, а при определённых условиях встроенные механизмы защиты Claude Code удавалось обойти и запустить скрытые команды, которые выполнялись на машине другого участника команды.
Первая проблема была связана с механизмом хуков, то есть автоматически запускаемых команд, и приводила к удалённому выполнению кода. В Claude Code хуки представляют собой пользовательские шелл-команды, которые запускаются в заранее определённые моменты работы инструмента. Такой механизм позволяет жёстко задать, какие действия выполняются при наступлении конкретных условий. Хуки задаются в файле .claude/settings.json, который контролируется репозиторием. Любой, кто имеет право коммита, мог прописать хук, выполняющий команду на машинах остальных участников проекта при работе с этим репозиторием.
Уязвимости в Claude Code могли превратить обычное клонирование репозитория в точку входа для атаки на рабочую машину разработчика. Исследователи Check Point утверждают, что в ряде сценариев злоумышленнику было достаточно добавить вредоносные настройки в проект, дождаться, пока кто-то из команды склонирует и откроет репозиторий, и затем получить удалённое выполнение команд или перехватить ключи Anthropic API. По итогам работы специалисты нашли три проблемы, передали их Anthropic, а разработчик инструмента выпустил исправления для всех трёх и присвоил CVE двум из них.
Check Point подчёркивает, что речь не только о конкретных багах, а о более широком риске для цепочки поставок . Компании всё активнее встраивают ИИ-инструменты для программирования в корпоративные процессы, и вместе с этим конфигурационные файлы начинают работать как новый слой, через который можно атаковать разработчиков. Опасность возникала из-за того, что настройки Claude Code можно хранить на уровне проекта прямо в репозитории и автоматически применять их при работе всей команды.
Claude Code изначально спроектирован так, чтобы упрощать совместную разработку. Для этого он поддерживает проектные конфигурационные файлы, которые лежат в репозитории, например .claude/settings.json. Когда разработчик клонирует проект, настройки подтягиваются автоматически и применяются так же, как у коллег. По данным исследователей, это удобство становится уязвимостью, если злоумышленник получает возможность коммитить изменения в репозиторий. Любой участник с правами на коммит мог изменить конфигурацию, а при определённых условиях встроенные механизмы защиты Claude Code удавалось обойти и запустить скрытые команды, которые выполнялись на машине другого участника команды.
Первая проблема была связана с механизмом хуков, то есть автоматически запускаемых команд, и приводила к удалённому выполнению кода. В Claude Code хуки представляют собой пользовательские шелл-команды, которые запускаются в заранее определённые моменты работы инструмента. Такой механизм позволяет жёстко задать, какие действия выполняются при наступлении конкретных условий. Хуки задаются в файле .claude/settings.json, который контролируется репозиторием. Любой, кто имеет право коммита, мог прописать хук, выполняющий команду на машинах остальных участников проекта при работе с этим репозиторием.