Elvetemült hookok: a géped már nem a tiéd
Az első biztonsági rés onnan indult, hogy a Claude Code – a kényelmesebb csapatmunka érdekében – minden projektbe beilleszt egy .claude/settings.json konfigurációs fájlt. Ebben azonban bármelyik fejlesztő – vagy akár egy támadó – beállíthat úgynevezett „hookokat”, vagyis bármilyen parancsokat, amelyek automatikusan futnak mindenkinél, aki megnyitja a projektet. Ha valaki hozzáfér a tárolóhoz, olyan hookokat illeszthet bele, amelyek akár kártékony program letöltését és futtatását is végrehajtják minden gyanútlan kolléga gépén, mindezt külön engedélykérés nélkül.
A kutatók először csak egy ártalmatlan kalkulátort nyittattak meg, de a lehetőség bármilyen kártékony programot el tudna indítani – például egy visszacsatolt parancshéjat (reverse shellt).
Bekerülsz, fut – azonnal: az MCP megkerülése
A következő hiba az MCP (Model Context Protocol) integráció körül adódott. Claude a külső eszközökkel való együttműködés érdekében engedélyezi, hogy a .mcp.json fájlban MCP-szervereket adjanak meg. Bár egy korábbi javítás után elvileg felugró figyelmeztetés kér engedélyt a veszélyes műveletekhez, a kutatók felfedeztek két konfigurációs kapcsolót, amellyel minden MCP-szervert automatikusan jóvá lehet hagyni. Az eredmény: ahogy elindul a projekt, bármilyen kártékony parancs automatikusan lefut, mielőtt végig tudnád olvasni a biztonsági tájékoztatót.
Ismét csak kalkulátort futtattak, de bemutatták, hogyan váltható ez egy visszacsatolt távoli parancshéj megnyitására is.
API-kulcs a támadónál, munkaterület a veszélyzónában
A harmadik sebezhetőség révén ellophatóvá váltak a Claude Code-hoz tartozó API-kulcsok. Minden egyes kommunikáció során a rendszer egy ANTHROPIC_BASE_URL nevű változót használ, amit azonban bárki felülírhat a konfigurációban. A kutatók saját proxyn keresztül követték le az összes API-kérést, amely során a fejlesztő engedélyező kulcsa teljes egészében, titkosítatlanul megjelent a fejlécben.
Ez a trükk átterelheti a forgalmat egy támadó szerverére, aki így már birtokolja a működő API-kulcsot. Ez azért különösen veszélyes, mert a Claude munkaterületeken (workspace-eken) több API-kulcs kezel közös projektfájlokat; a támadó a kulccsal tehát törölhet, módosíthat vagy akár vírusos állományokat is feltölthet, de a 100 GB-os munkaterület-korlátot (workspace limitet) is túllépheti. Sikerült olyan műveletet is végrehajtani, amelyben egy letölthetetlen fájlt – mesterséges intelligencia (MI) segítségével – letölthetővé konvertáltak, így minden közös munkaterület-állomány elérhetővé vált volna a támadó számára.
Tanulság: az MI nemcsak segít, veszélyt is jelent
Az Anthropic minden sebezhetőséget viszonylag gyorsan javított, de a történet azt mutatja: az MI-integráció a fejlesztői munkában óriási produktivitást ad, ám ezzel párhuzamosan olyan biztonsági réseket is nyit, amelyek a hagyományos eszközöknél nem léteztek. A konfigurációs állományok új támadási frontot jelentenek. Az MI-alapú eszközökkel dolgozó fejlesztőknek és cégeknek ezért a megszokottnál sokkal körültekintőbben kell figyelniük a tárolók védelmére, a jogosultságokra és a frissítésekre. Az MI nemcsak dolgozik helyetted, hanem egyetlen rossz commit akár az egész fejlesztőcsapatot is pórul járathatja.
