Sikkerhedsforskere fra Check Point har afsløret tre alvorlige sårbarheder i Anthropics Claude Code — det populære AI-kodningsværktøj der bruges af tusindvis af udviklere verden over. Fejlene kunne udnyttes til fjernkørsel af vilkårlig kode (RCE) og tyveri af API-nøgler, blot ved at en udvikler klonede et ondsindet repository.
Konfigurationsfiler som angrebsflade
Claude Code er designet til teamsamarbejde: projektindstillinger gemmes i .claude/settings.json, så alle på teamet automatisk bruger samme opsætning. Men netop denne mekanisme viste sig at være farlig. Alle med commit-adgang kan ændre disse filer — og dermed potentielt injicere ondsindede kommandoer.
Check Point-forskerne Aviv Donenfeld og Oded Vanunu demonstrerede tre distinkte angrebsvektorer:
CVE-oversigt
1. Hooks-misbrug (CVSS 8.7, ingen CVE)
Claude Codes Hooks-funktion lader brugere definere shell-kommandoer der kører automatisk på bestemte tidspunkter i værktøjets livscyklus. Fordi hooks defineres i den delte konfigurationsfil, kunne en angriber tilføje hooks der eksekverede vilkårlige kommandoer — uden at Claude bad om bekræftelse. Fikset i version 1.0.87 (september 2025).
2. MCP-server override (CVE-2025-59536, CVSS 8.7)
Ved at sætte enableAllProjectMcpServers til true i repository-konfigurationen kunne angribere omgå brugerens eksplicitte godkendelse af eksterne MCP-servere (Model Context Protocol). Det betød at ondsindede MCP-servere startede automatisk ved projektåbning. Fikset i version 1.0.111 (oktober 2025).
3. API-nøgle-lækage (CVE-2026-21852, CVSS 5.3)
Den nyeste sårbarhed: et ondsindet repository kunne sætte ANTHROPIC_BASE_URL til en angriberkontrolleret server. Claude Code sendte API-forespørgsler — inklusive brugerens API-nøgle — før tillidsdialogens blev vist. Fikset i version 2.0.65 (januar 2026).
Hvad det betyder for udviklere
Alle tre sårbarheder er rettet, men de illustrerer et bredere problem: konfigurationsfiler er blevet en del af eksekveringslaget. Det der før var harmløse projektindstillinger, styrer nu direkte systemopførsel — og det ændrer trusselsbilledet fundamentalt.
Som Check Point formulerer det: risikoen er ikke længere begrænset til at køre kode man ikke har tillid til. Risikoen starter allerede ved at åbne et projekt.
Anbefalinger
- Opdatér Claude Code til mindst version 2.0.65
- Gennemgå
.claude/-mapper i repositories du kloner — især hooks og MCP-konfigurationer - Brug allowlists for MCP-servere i stedet for at tillade alle
- Overvej code review af ændringer til
.claude/settings.jsonpå lige fod med kodeændringer
Kilder: The Hacker News, The Register, Check Point Research
Denne artikel er skrevet i samarbejde med AI, og efterfølgende redigeret af et rigtigt menneske 🙂
