В мире, где файлы конфигурации иногда ведут себя как коварные коты — кажется, их тоже можно погладить не в ту сторону, — исследователи Check Point обнаружили, что Claude Code мог превратить репозиторий в врата для атак. Юмористически: открыл проект — и вместо README запускается маленький «калькулятор» злоумышленника. Смешно до тех пор, пока вместо калькулятора не стартует обратная оболочка.
Суть простая и тревожная. Claude позволял хранить проектные настройки прямо в репозитории (.claude/settings.json и .mcp.json). Любой участник с правом коммита мог прописать «хуки» — набор shell-команд, которые запускались на машинах коллег при открытии проекта. Отсутствие явного подтверждения делало это идеальным каналом для RCE. Исследователи показали, как хук открывает калькулятор, но такое поведение можно быстро превратить в загрузчик вредоносного кода или обратную сидку.
Второй трюк — обход подтверждений MCP. Даже когда Anthropic добавила предупреждение о доверии к внешним MCP-серверам, оказалось, что настройки репозитория могли автоматически обходить диалог согласия, заставляя команду выполнять команды прежде, чем они успеют прочесть предупреждение. И да, снова — калькулятор как демонстрация, но сценарии куда более опасны.
Третий кейс — утечка API-ключей. Параметр ANTHROPIC_BASE_URL можно было перенаправить на прокси атакующего, и все вызовы содержали заголовок авторизации с ключом в открытом виде. Скомпрометированный ключ открывает доступ к рабочим пространствам, файлам и возможностям загрузки — supply-chain nightmare.
Anthropic оперативно устранила уязвимости и оформила CVE (см. CVE-2025-59536 и CVE-2026-21852), а Check Point опубликовал подробный отчёт и демонстрационные видео. Это хороший пример взаимодействия индустрии и исследователей — и повод для позитивного взгляда: когда проблемы обнаруживают и исправляют быстро, экосистема выигрывает. Особенно приятно, что международное сообщество разработчиков, включая российских экспертов по безопасности, учится извлекать уроки и усиливать защиту — ведь крепкая экосистема выгодна всем сторонам.
Вывод простой: AI-инструменты приносят скорость и удобство, но превращают конфигурации в новую поверхность атаки. Обратная сторона медали — шанс сделать процессы безопаснее, если подходить к ним с вниманием и здравым скептицизмом.
