Как через конфиг-файлы взломали Claude Code

Представьте: вы клонируете репозиторий с GitHub, открываете его в терминале, запускаете Claude Code — и через секунду на вашей машине уже работает чужой шелл. Без единого предупреждения. Без вашего согласия. Именно такой сценарий продемонстрировали исследователи из Check Point Research, обнаружившие три критические уязвимости в популярном AI-ассистенте Anthropic.

Конфигурация как оружие

Корень проблемы оказался в том, как Claude Code обрабатывает конфигурационные файлы проекта. Файл .claude/settings.json лежит прямо в репозитории — когда разработчик клонирует проект, он автоматически получает все настройки команды. Удобно для совместной работы, опасно для безопасности.

Первая уязвимость (CVE-2025-59536) затронула механизм хуков — пользовательских скриптов, которые запускаются на определённых этапах работы Claude Code. Исследователи добавили в конфиг хук с событием SessionStart, и при запуске claude в директории проекта команда выполнилась немедленно. Claude Code показывал диалог доверия с формулировкой о том, что файлы будут выполняться «с вашего разрешения», но на практике хуки отрабатывали без дополнительного подтверждения.

Для обычных bash-команд Claude запрашивал явное одобрение. Для хуков — нет. Это принципиальное различие и стало точкой входа для атаки.

Обход согласия через MCP

Вторая уязвимость оказалась ещё изящнее. После того как Anthropic закрыла проблему с хуками, добавив улучшённый диалог предупреждения, исследователи переключились на MCP-серверы — механизм интеграции Claude Code с внешними инструментами.

MCP-серверы тоже настраиваются через файлы проекта (.mcp.json), и Anthropic действительно добавила предупреждение о рисках их запуска. Но в документации нашлись два параметра: enableAllProjectMcpServers и enabledMcpjsonServers. Они позволяли автоматически одобрять запуск серверов — и их тоже можно было прописать в .claude/settings.json.

Результат: при запуске Claude Code вредоносная команда выполнялась ещё до того, как пользователь успевал прочитать диалог доверия. Калькулятор открывался поверх окна с предупреждением — ирония, которую сложно не оценить.

Кража API-ключей

Третья уязвимость (CVE-2026-21852) работала тоньше. В конфигурации можно было переопределить переменную ANTHROPIC_BASE_URL — адрес сервера, с которым общается Claude Code. Подставив свой прокси, атакующий перехватывал весь трафик между клиентом и Anthropic.

Критический момент: Claude Code отправлял запросы к серверу ещё до того, как пользователь нажимал кнопку в диалоге доверия. Каждый запрос содержал API-ключ в заголовке авторизации — открытым текстом. Никакого взаимодействия от жертвы не требовалось: достаточно было клонировать репозиторий и запустить claude.

Украденный ключ давал доступ не только к биллингу. Через API Workspaces атакующий мог читать, удалять и загружать файлы всей команды — потому что файлы в рабочем пространстве Anthropic принадлежат не отдельным ключам, а самому воркспейсу.

Цепочка атаки на практике

В реальном мире такие уязвимости эксплуатируются через цепочки поставок. Злоумышленник создаёт полезный на вид репозиторий — утилиту, туториал, шаблон проекта — и добавляет вредоносный конфиг. Или отправляет pull request в существующий проект, спрятав изменения среди легитимного кода.

Конфигурационные файлы редко проходят тот же уровень ревью, что и исходный код. Разработчики воспринимают их как метаданные, а не как исполняемый код — и именно на этом строится атака.

Что сделала Anthropic

Anthropic отреагировала последовательно. Уязвимости обнаруживались с июля по октябрь 2025 года, патчи выходили в течение нескольких недель после каждого отчёта:

• Август 2025 — исправлен обход через хуки, добавлен улучшённый диалог предупреждения
• Сентябрь 2025 — заблокирован запуск MCP-серверов до получения согласия пользователя
• Декабрь 2025 — API-запросы теперь не отправляются до подтверждения диалога доверия

К моменту публичного раскрытия в феврале 2026 года все три уязвимости были закрыты.

Что это значит для разработчиков

Эта история — не только про Claude Code. Граница между конфигурацией и исполняемым кодом размывается во всех современных инструментах разработки: VS Code с его расширениями, Docker с compose-файлами, CI/CD-пайплайны с их конфигами. AI-ассистенты для кодинга добавляют новый уровень сложности, потому что объединяют конфигурацию, исполнение команд и сетевое взаимодействие в одном инструменте.

Практический вывод простой: относитесь к .claude/, .vscode/ и подобным директориям в чужих репозиториях так же внимательно, как к исполняемым файлам. И обновляйте инструменты — все описанные уязвимости давно закрыты в актуальных версиях Claude Code.