Уязвимости Claude Code: выполнение произвольного кода

Для минимизации рисков разработчики Anthropic внедрили архитектуру на основе разрешений, где ключевым элементом выступает диалоговое окно подтверждения доверия к новым проектам. Этот механизм предполагает, что специалист осознанно предоставляет инструменту доступ на чтение файлов. Однако углублённый анализ инициализации Claude Code показал, что отдельные системные процессы запускались ещё до активации этого защитного барьера. Устоявшаяся практика обмена кодом между разработчиками и подрядчиками превращает клонирование непроверенного репозитория в потенциальную угрозу. Злоумышленнику достаточно разместить скрытые настройки в файлах, чтобы мгновенно скомпрометировать среду без каких-либо дополнительных действий со стороны жертвы.

Эксперты Sonar сосредоточились на этапе, предшествующем окну проверки развертывания.

Первая уязвимость касалась обработки Git-конфигураций, в частности параметра «log.showSignature», который автоматически добавляет аргумент проверки подписей коммитов. Поскольку для этого система вызывает утилиту «gpg», киберзлоумышленник мог изменить параметр «gpg.program» в файле «.git/config» на путь к любому вредоносному скрипту.

Второй вектор эксплуатировал локальные параметры самого инструмента через файл «.claude/settings.json». Используя переменные наподобие «apiKeyHelper» или специфические системные хуки, атакующий получал возможность запускать команды, обходя любые интерфейсные ограничения.

В рабочем процессе компрометация происходит практически незаметно. Разработчик загружает сторонний репозиторий от подрядчика или находит решение в открытых источниках и запускает команду «claude» для анализа. Вместо остановки для верификации инструмент сразу считывает инструкции из скрытых файлов. В результате выполнения фоновых скриптов киберпреступник может похитить SSH-ключи, токены авторизации, перехватить управление и проникнуть во внутреннюю корпоративную сеть.

Такой сценарий показывает, как базовая системная автоматизация нивелирует эшелонированную защиту приложения и делает архитектуру Zero Trust необходимостью для каждого файла.

После получения отчёта о выявленных недостатках компания Anthropic оперативно выпустила исправление в версии Claude Code 2.0.71 по состоянию на 16 декабря 2025 года. Ключевым архитектурным изменением стал перенос всех операций, связанных со считыванием или выполнением конфигураций, исключительно на этап после подтверждения доверия. Такой подход восстанавливает принцип эшелонированной защиты, при котором явное разрешение человека является строгим требованием для запуска любых скрытых процессов. Администраторам безопасности необходимо в принудительном порядке обновить все инсталляции инструмента в компании, чтобы гарантированно закрыть эти векторы угроз.

Стремительное развитие AI-агентов не отменяет, а многократно усиливает значимость классического управления конфигурациями и безопасности рабочих станций. Выявленные методы обхода в механизмах инициализации доказывают, что принципы кибербезопасности должны применяться к базовой инфраструктуре исполнения, где даже самый простой текстовый файл может стать точкой входа в сеть.