Вразливості Claude Code: виконання довільного коду

Для мінімізації ризиків розробники Anthropic запровадили архітектуру на основі дозволів, де ключовим елементом є діалогове вікно підтвердження довіри до нових проєктів. Цей механізм передбачає, що фахівець свідомо надає доступ інструменту до читання файлів. Проте глибокий аналіз ініціалізації Claude Code показав, що певні системні процеси запускалися ще до активації цього захисного бар’єра. Усталена практика обміну кодом між розробниками та підрядниками перетворює клонування неперевіреного репозиторію на потенційну загрозу. Зловмиснику достатньо розмістити приховані налаштування у файлах, щоб миттєво скомпрометувати середовище без додаткових дій з боку жертви.

Експерти Sonar сфокусувалися на етапі, що передує вікну перевірки розгортання.

Перша вразливість стосувалася обробки Git-конфігурацій, зокрема параметра “log.showSignature”, який автоматично додає аргумент перевірки підписів комітів. Оскільки для цього система викликає утиліту “gpg”, кіберзловмисник міг змінити параметр “gpg.program” у файлі “.git/config” на шлях до будь-якого шкідливого скрипта.

Другий вектор експлуатував локальні параметри самого інструмента через файл “.claude/settings.json”. Використовуючи змінні на кшталт “apiKeyHelper” або специфічні системні хуки, атакуючий отримував можливість запускати команди минаючи будь-які інтерфейсні перешкоди.

У робочому процесі компрометація відбувається максимально непомітно. Розробник завантажує сторонній репозиторій від підрядника або знаходить рішення у відкритих джерелах та запускає команду “claude” для аналізу. Замість зупинки для верифікації, інструмент одразу зчитує інструкції з прихованих файлів. У результаті виконання фонових скриптів кіберзлочинець може викрасти SSH-ключі, токени авторизації, перехопити керування та проникнути у внутрішню корпоративну мережу.

Подібний сценарій демонструє, як базова системна автоматизація нівелює ешелонований захист додатка та робить архітектуру Zero Trust необхідністю для кожного файлу.

Після отримання звіту про виявлені недоліки, компанія Anthropic оперативно випустила виправлення у версії Claude Code 2.0.71 станом на 16 грудня 2025 року. Головною архітектурною зміною стало перенесення всіх операцій, що стосуються зчитування або виконання конфігурацій, виключно на етап після підтвердження довіри. Такий підхід відновлює принцип ешелонованого захисту, де експліцитний дозвіл людини є суворою вимогою для початку будь-яких прихованих процесів. Адміністраторам безпеки необхідно примусово оновити всі інсталяції інструменту в компанії, щоб гарантовано закрити ці вектори загроз.

Стрімкий розвиток AI-агентів не скасовує, а мультиплікує значущість класичного управління конфігураціями та безпеки робочих станцій. Виявлені методи обходу в механізмах ініціалізації доводять, що принципи кібербезпеки повинні застосовуватися до базової інфраструктури виконання, де найпростіший текстовий файл може стати точкою входу в мережу.