Angreifer konnten durch manipulierte Repository-Dateien API-Schlüssel stehlen und Code auf Entwickler-Endpunkten ausführen. Patches sind bereits verfügbar.
Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat kritische Schwachstellen in Anthropics KI-basiertem Coding Tool „Claude Code“ identifiziert (CVE-2025-59536, CVE-2026-21852). Diese ermöglichten die Ausführung von Remote-Code und den Diebstahl von API-Anmeldedaten.
Durch den Missbrauch integrierter Mechanismen wie Hooks, Model Context Protocol (MCP)-Integrationen und Umgebungsvariablen konnten Angreifer beliebige Shell-Befehle ausführen und API-Schlüssel exfiltrieren, wenn Entwickler nicht vertrauenswürdige Projekte klonten und öffneten. Über das Starten des Tools hinaus war dafür kein weiteres Zutun durch den Nutzer erforderlich.
Analyse: Wenn Konfiguration zur Ausführung wird
Traditionell wurden Repository-Konfigurationsdateien als passive Metadaten betrachtet, die lediglich Betriebsparameter festlegen. Mit dem Aufkommen KI-gestützter Agenten-Tools wie Claude Code hat sich dies grundlegend geändert. Diese Tools sind darauf ausgelegt, Workflows autonom zu optimieren, wodurch die Grenze zwischen Konfiguration und Code-Ausführung verschwimmt.
Die Sicherheitsforscher von CPR haben drei spezifische Kategorien identifiziert, in denen diese Grenzen missbraucht wurden:
1. Versteckte Befehlsausführung via Claude Hooks
Claude Code verfügt über Automatisierungsfunktionen, sogenannte Hooks, die beim Start einer Sitzung vordefinierte Aktionen auslösen. CPR demonstrierte, dass dieser Mechanismus missbraucht werden kann, um willkürliche Shell-Befehle automatisch zu starten, sobald ein Entwickler ein Projektverzeichnis betritt. Da dies bei der Initialisierung des Tools geschieht, bleibt dem Nutzer keine Zeit, die Aktivität zu bemerken oder zu verhindern.
2. Umgehung der MCP-Zustimmung (CVE-2025-59536)
Das Tool nutzt das Model Context Protocol (MCP), um externe Dienste beim Öffnen eines Projekts zu integrieren. Claude Code erfordert eigentlich eine explizite Nutzerzustimmung vor der Initialisierung solcher Dienste, trotzdem fanden die Forscher heraus, dass Repository-gesteuerte Einstellungen diese Sicherheitsabfrage überschreiben können. Dadurch wird Software gestartet, bevor Vertrauen hergestellt wurde. Das verlagert die Kontrolle vom Nutzer auf das (potenziell bösartige) Repository.
3. API-Key-Diebstahl vor der Vertrauensbestätigung (CVE-2026-21852)
Die schwerwiegendste Schwachstelle betrifft die Manipulation der API-Kommunikation. Durch eine gezielte Konfigurationsänderung konnte der gesamte API-Verkehr, inklusive des vollständigen Autorisierungs-Headers mit dem aktiven API-Key des Entwicklers, an einen Server des Angreifers umgeleitet werden. Dies geschah bereits beim Öffnen des Verzeichnisses, noch bevor der Nutzer eine Entscheidung über die Vertrauenswürdigkeit des Projekts treffen konnte.
Auswirkungen auf Unternehmen: Risiko jenseits des Desktops
In modernen Cloud-Entwicklungsumgebungen ist ein kompromittierter API-Key weit mehr als nur der Verlust eines einzelnen Zugangs. Das „Workspaces“-Feature von Anthropic ermöglicht es mehreren Schlüsseln, Zugriff auf dieselben cloudbasierten Projektdateien zu teilen.
Mit einem gestohlenen Schlüssel kann ein Angreifer:
- Auf alle geteilten Projektdateien innerhalb des Workspaces zugreifen.
- In der Cloud gespeicherte Daten modifizieren oder löschen.
- Bösartige Inhalte in bestehende Repositories hochladen.
- Unerwartete und potenziell enorme API-Nutzungskosten verursachen.
Damit skaliert ein individueller Fehler eines Entwicklers (das Klonen eines Repositories) unmittelbar zu einem teamweiten oder unternehmenskritischen Vorfall.
Ein neues Bedrohungsmodell für die KI-Lieferkette
Die Ergebnisse von Check Point Research unterstreichen einen strukturellen Wandel in der Cybersicherheit. Das Risiko beschränkt sich nicht mehr darauf, dass ein Nutzer bösartigen Code aktiv ausführt. In einer Welt KI-gestützter Automatisierung beginnt das Risiko bereits beim Öffnen eines Projekts. Da KI-Tools zunehmend autonom Befehle ausführen, externe Integrationen initialisieren und Netzkommunikation starten, werden Konfigurationsdateien zum neuen Primärziel für Lieferketten-Angriffe.
Oded Vanunu, Head of Product Vulnerability Research bei Check Point, fasst zusammen:
„Diese Untersuchung verdeutlicht einen grundlegenden Wandel in der Art und Weise, wie wir im KI-Zeitalter über Risiken nachdenken müssen. KI-Entwicklungstools sind nicht mehr nur periphere Hilfsmittel, sondern sie werden selbst zur Infrastruktur. Wenn Automatisierungsebenen die Fähigkeit erlangen, die Ausführung und das Verhalten der Umgebung zu beeinflussen, verschieben sich die Vertrauensgrenzen. Unternehmen, die die Einführung von KI vorantreiben, müssen sicherstellen, dass sich ihre Sicherheitsmodelle im gleichen Tempo weiterentwickeln.“
Folgende Sicherheitstipps sollten Unternehmen und Nutzer beherzigen:
- Tools auf dem neuesten Stand halten: Verantwortliche sollten sicherstellen, dass immer die neueste Version von Claude Code installiert ist. Da alle identifizierten Schwachstellen behoben wurden, bietet die aktuelle Version den effektivsten Schutz.
- Überprüfung von Konfigurationsverzeichnissen vor Projektstart: Vor dem Öffnen von Projekten sollten toolspezifische Ordner wie .claude/, .vscode/ und ähnliche Verzeichnisse auf verdächtige Inhalte untersucht werden.
- Beachtung von Tool-Warnungen: Warnhinweise zu potenziell unsicheren Dateien müssen selbst in legitim erscheinenden Repositories konsequent ernst genommen werden.
- Sorgfalt bei Konfigurationsänderungen: Änderungen an der Konfiguration sollten während der Code-Überprüfung mit derselben Sorgfalt wie der Quellcode selbst behandelt werden.
- Hinterfragen komplexer Setup-Anforderungen: Ungewöhnliche Anforderungen an das Setup, die für den offensichtlichen Umfang eines Projekts übermäßig komplex erscheinen, sollten kritisch hinterfragt werden.
Behebung und Offenlegung
Check Point Research hat eng mit Anthropic zusammengearbeitet, um diese Schwachstellen im Rahmen eines verantwortungsvollen Offenlegungsprozesses zu beheben. Anthropic hat umgehend folgende Maßnahmen implementiert:
- Die Zustimmungsabfragen für Nutzer wurden deutlich verstärkt.
- Verhinderung der Ausführung externer Tools ohne explizite Genehmigung.
- Blockierung sämtlicher API-Kommunikation, bis der Nutzer das Projektverzeichnis verifiziert hat.
Alle gemeldeten Probleme wurden vor der öffentlichen Bekanntgabe vollständig behoben.
Weitere Informationen inklusive einer technischen Analyse der Schwachstellen finden Sie im Blog von CPR: https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/
Folgen Sie Check Point auf LinkedIn, X (früher Twitter), Facebook, YouTube und über den Blog.