Cybersecurity-onderzoekers hebben meerdere beveiligingskwetsbaarheden onthuld in Claude Code van Anthropic, een door kunstmatige intelligentie (AI) aangedreven coderingsassistent, die kunnen leiden tot uitvoering van code op afstand en diefstal van API-inloggegevens.
“De kwetsbaarheden maken misbruik van verschillende configuratiemechanismen, waaronder Hooks, Model Context Protocol (MCP)-servers en omgevingsvariabelen – waarbij willekeurige shell-opdrachten worden uitgevoerd en Anthropic API-sleutels worden geëxfiltreerd wanneer gebruikers niet-vertrouwde opslagplaatsen klonen en openen”, aldus Check Point Research in een rapport gedeeld met The Hacker News.
De geïdentificeerde tekortkomingen vallen onder drie brede categorieën:
- Geen CVE (CVSS-score: 8,7) – Een kwetsbaarheid voor code-injectie die voortkomt uit het omzeilen van de toestemming van de gebruiker bij het starten van Claude Code in een nieuwe map, wat zou kunnen resulteren in het uitvoeren van willekeurige code zonder aanvullende bevestiging via niet-vertrouwde projecthooks gedefinieerd in .claude/settings.json. (Opgelost in versie 1.0.87 in september 2025)
- CVE-2025-59536 (CVSS-score: 8,7) – Een kwetsbaarheid voor code-injectie die het automatisch uitvoeren van willekeurige shell-opdrachten mogelijk maakt bij het initialiseren van het gereedschap wanneer een gebruiker Claude Code start in een niet-vertrouwde map. (Opgelost in versie 1.0.111 in oktober 2025)
- CVE-2026-21852 (CVSS-score: 5,3) – Een kwetsbaarheid voor het vrijgeven van informatie in de projectlaadstroom van Claude Code waardoor een kwaadaardige repository gegevens kan exfiltreren, inclusief Anthropic API-sleutels. (Opgelost in versie 2.0.65 in januari 2026)
“Als een gebruiker Claude Code startte in een repository van de aanvaller en de controller, en de repository bevatte een instellingenbestand dat ANHROPIC_BASE_URL instelde op een door de aanvaller gecontroleerd eindpunt, zou Claude Code API-verzoeken uitgeven voordat de vertrouwensprompt werd getoond, inclusief mogelijk het lekken van de API-sleutels van de gebruiker”, zei Anthropic in een advies voor CVE-2026-21852.
Met andere woorden: het simpelweg openen van een vervaardigde repository is voldoende om de actieve API-sleutel van een ontwikkelaar te exfiltreren, geauthenticeerd API-verkeer om te leiden naar een externe infrastructuur en inloggegevens vast te leggen. Dit kan de aanvaller op zijn beurt in staat stellen dieper in de AI-infrastructuur van het slachtoffer te graven.
Dit kan mogelijk gepaard gaan met toegang tot gedeelde projectbestanden, het wijzigen/verwijderen van in de cloud opgeslagen gegevens, het uploaden van kwaadaardige inhoud en zelfs het genereren van onverwachte API-kosten.
Succesvolle exploitatie van de eerste kwetsbaarheid zou een sluipende uitvoering op de machine van een ontwikkelaar kunnen veroorzaken, zonder enige extra interactie naast het starten van het project.
CVE-2025-59536 bereikt ook een soortgelijk doel, met als belangrijkste verschil dat door de repository gedefinieerde configuraties die zijn gedefinieerd via de bestanden .mcp.json en claude/settings.json door een aanvaller kunnen worden misbruikt om expliciete gebruikersgoedkeuring te onderdrukken voordat er interactie plaatsvindt met externe tools en services via het Model Context Protocol (MCP). Dit wordt bereikt door de optie “enableAllProjectMcpServers” in te stellen op true.
“Naarmate AI-aangedreven tools de mogelijkheid krijgen om opdrachten uit te voeren, externe integraties te initialiseren en autonoom netwerkcommunicatie te initiëren, worden configuratiebestanden feitelijk onderdeel van de uitvoeringslaag”, aldus Check Point. “Wat ooit als operationele context werd beschouwd, heeft nu directe invloed op het systeemgedrag.”
“Dit verandert het dreigingsmodel fundamenteel. Het risico beperkt zich niet langer tot het uitvoeren van niet-vertrouwde code – het strekt zich nu uit tot het openen van niet-vertrouwde projecten. In AI-gestuurde ontwikkelomgevingen begint de supply chain niet alleen met de broncode, maar ook met de automatiseringslagen eromheen.”
