Специалисты по кибербезопасности из компании Check Point Research обнаружили серию критических уязвимостей в ИИ-помощнике для написания кода Claude Code, разработанном компанией Anthropic. Согласно данным, опубликованным в издании The Hacker News, эти бреши позволяют злоумышленникам осуществлять удаленное выполнение произвольных shell-команд (RCE) и похищать конфиденциальные учетные данные API. Для успешной атаки хакерам не требуется применять сложные методы социальной инженерии — разработчику достаточно просто открыть или клонировать непроверенный репозиторий на своем устройстве.
Вектор атаки базируется на механизмах обработки хуков (Hooks), серверов Model Context Protocol (MCP) и переменных окружения. Главными целями злоумышленников становятся пассивные конфигурационные файлы, такие как
Первая обнаруженная уязвимость классифицируется как внедрение кода через хуки проекта (Project Hooks Code Injection). Несмотря на отсутствие официально присвоенного идентификатора CVE, данная проблема обхода пользовательского согласия получила высокую оценку опасности — 8.7 балла по шкале CVSS. Эксплуатация происходит в момент запуска Claude Code в новой, ненадежной директории, где система считывает скомпрометированные проектные хуки из файла
Вторая критическая брешь, получившая идентификатор CVE-2025-59536 (оценка CVSS также составляет 8.7 балла), связана с внедрением кода при инициализации инструментов (Tool Initialization Code Injection). Уязвимость срабатывает при аналогичных условиях запуска в непроверенной директории, однако использует конфигурации репозитория через файлы
Третья уязвимость, идентифицированная как CVE-2026-21852 (оценка CVSS 5.3), представляет собой раскрытие информации в процессе загрузки проекта (Project-Load Flow Information Disclosure). Эксплуатация инициируется открытием специально подготовленного репозитория, в котором хакер изменяет файл настроек, перенаправляя переменную
Успешная эксплуатация описанных уязвимостей, особенно в части перехвата учетных данных и перенаправления трафика, вызывает каскадный эффект, позволяющий атакующим глубоко внедриться в ИИ-инфраструктуру жертвы. Подобное проникновение приводит к серьезным последствиям, начиная с получения несанкционированного доступа к общим файлам проектов в рамках корпоративной сети.
Помимо несанкционированного доступа к интеллектуальной собственности, скомпрометированная ИИ-инфраструктура дает злоумышленникам возможность манипулировать данными, хранящимися в облаке, включая их скрытую модификацию или полное удаление. Постоянный доступ также позволяет беспрепятственно загружать вредоносный контент непосредственно в среду разработки и генерировать непредвиденные мошеннические расходы за использование API, перекладывая финансовое бремя на скомпрометированную организацию.
Аналитики Check Point Research подчеркивают, что данные инциденты демонстрируют фундаментальную смену парадигмы в кибербезопасности сред разработки на базе ИИ. Поскольку современные нейросетевые инструменты способны автономно выполнять команды и инициировать сетевые коммуникации, пассивные конфигурационные файлы фактически превратились в часть активного «уровня исполнения» (Execution Layer). В этих условиях именно операционный контекст напрямую диктует поведение системы, стирая границы между простым текстом и исполняемым кодом.
В результате этого сдвига появился совершенно новый вектор угроз, радикально расширяющий зону риска. Опасность больше не ограничивается явным запуском стороннего кода — теперь само открытие непроверенного проекта несет в себе угрозу полной компрометации системы. В ИИ-ориентированных средах уязвимости цепочки поставок программного обеспечения (Supply Chain) начинают формироваться не в исходном коде разрабатываемого продукта, а в слоях автоматизации, которые окружают и обслуживают этот код.
Изображение носит иллюстративный характер
Вектор атаки базируется на механизмах обработки хуков (Hooks), серверов Model Context Protocol (MCP) и переменных окружения. Главными целями злоумышленников становятся пассивные конфигурационные файлы, такие как
.claude/settings.json и .mcp.json. Манипулируя определенными параметрами внутри этих файлов, в первую очередь ANTHROPIC_BASE_URL и "enableAllProjectMcpServers", атакующие получают возможность обходить встроенные механизмы безопасности ИИ-ассистента. Первая обнаруженная уязвимость классифицируется как внедрение кода через хуки проекта (Project Hooks Code Injection). Несмотря на отсутствие официально присвоенного идентификатора CVE, данная проблема обхода пользовательского согласия получила высокую оценку опасности — 8.7 балла по шкале CVSS. Эксплуатация происходит в момент запуска Claude Code в новой, ненадежной директории, где система считывает скомпрометированные проектные хуки из файла
.claude/settings.json. Это приводит к скрытому удаленному выполнению произвольного кода на машине разработчика без какого-либо дополнительного подтверждения или взаимодействия со стороны пользователя. Компания Anthropic устранила эту уязвимость в сентябре 2025 года, выпустив версию 1.0.87. Вторая критическая брешь, получившая идентификатор CVE-2025-59536 (оценка CVSS также составляет 8.7 балла), связана с внедрением кода при инициализации инструментов (Tool Initialization Code Injection). Уязвимость срабатывает при аналогичных условиях запуска в непроверенной директории, однако использует конфигурации репозитория через файлы
.mcp.json и .claude/settings.json. Устанавливая параметр "enableAllProjectMcpServers" в значение true, злоумышленники переопределяют механизм явного одобрения пользователя, который должен предшествовать взаимодействию с внешними инструментами через Model Context Protocol. Результатом становится автоматическое выполнение произвольных shell-команд в момент инициализации инструмента. Исправление для этой проблемы было интегрировано в версию 1.0.111 в октябре 2025 года. Третья уязвимость, идентифицированная как CVE-2026-21852 (оценка CVSS 5.3), представляет собой раскрытие информации в процессе загрузки проекта (Project-Load Flow Information Disclosure). Эксплуатация инициируется открытием специально подготовленного репозитория, в котором хакер изменяет файл настроек, перенаправляя переменную
ANTHROPIC_BASE_URL на подконтрольную конечную точку. Архитектурный изъян заключался в том, что Claude Code отправлял API-запросы на этот внешний сервер еще до того, как на экране появлялось окно запроса доверия. Эта преждевременная сетевая активность позволяла злоумышленникам перехватывать аутентифицированный трафик и похищать активные ключи API Anthropic. Данный вектор кражи учетных данных был закрыт в январе 2026 года с выходом версии 2.0.65. Успешная эксплуатация описанных уязвимостей, особенно в части перехвата учетных данных и перенаправления трафика, вызывает каскадный эффект, позволяющий атакующим глубоко внедриться в ИИ-инфраструктуру жертвы. Подобное проникновение приводит к серьезным последствиям, начиная с получения несанкционированного доступа к общим файлам проектов в рамках корпоративной сети.
Помимо несанкционированного доступа к интеллектуальной собственности, скомпрометированная ИИ-инфраструктура дает злоумышленникам возможность манипулировать данными, хранящимися в облаке, включая их скрытую модификацию или полное удаление. Постоянный доступ также позволяет беспрепятственно загружать вредоносный контент непосредственно в среду разработки и генерировать непредвиденные мошеннические расходы за использование API, перекладывая финансовое бремя на скомпрометированную организацию.
Аналитики Check Point Research подчеркивают, что данные инциденты демонстрируют фундаментальную смену парадигмы в кибербезопасности сред разработки на базе ИИ. Поскольку современные нейросетевые инструменты способны автономно выполнять команды и инициировать сетевые коммуникации, пассивные конфигурационные файлы фактически превратились в часть активного «уровня исполнения» (Execution Layer). В этих условиях именно операционный контекст напрямую диктует поведение системы, стирая границы между простым текстом и исполняемым кодом.
В результате этого сдвига появился совершенно новый вектор угроз, радикально расширяющий зону риска. Опасность больше не ограничивается явным запуском стороннего кода — теперь само открытие непроверенного проекта несет в себе угрозу полной компрометации системы. В ИИ-ориентированных средах уязвимости цепочки поставок программного обеспечения (Supply Chain) начинают формироваться не в исходном коде разрабатываемого продукта, а в слоях автоматизации, которые окружают и обслуживают этот код.
