Claude Code lek: Onderzoekers vinden eerste kwetsbaarheid

Op 31 maart heeft Anthropic, het bedrijf achter de Claude AI, per ongeluk een groot deel van de code achter de codeeragent Claude Code online gezet. Sindsdien, Heeft Anthropic geprobeerd actie te ondernemen tegen kopieën van die code. Analisten hebben al wat informatie in de code gevonden die mogelijk lastig is voor Anthropic. Dat is inclusief het YOLO-protocol.

Hoewel er geen modelgewichten beïnvloed zijn door het lek, geeft het een gedetailleerde blauwdruk van hoe de tool werkt. Dit maakt het voor potentiële aanvallers gemakkelijker om gerichte kwetsbaarheden te identificeren of zeer overtuigende kopieën van het programma te maken die malware kunnen verspreiden. In deze context heeft het team van Adversa AI een kritieke beveiligingsfout ontdekt in het toestemmingssysteem van Claude Code.

Claude Code is een terminal-gebaseerde assistent die direct in de commandoregel werkt en zowel bestanden kan bewerken als shell-opdrachten kan uitvoeren. Om de beveiliging te handhaven, gebruikt het hulpprogramma een systeem van toestemmingsregels. Gebruikers kunnen zogenaamde deny rules definiëren die bepaalde commando's strikt blokkeren, zoals het commando "curl", dat wordt gebruikt om gegevens over een netwerk te versturen. Andere commando's, zoals "git" voor versiebeheer, kunnen daarentegen expliciet worden toegestaan.

De ontdekte kwetsbaarheid zit in de afhandeling van complexe opdrachtketens. Om prestatieproblemen en vastlopen van de UI te voorkomen, beperkt Anthropic zijn gedetailleerde beveiligingsanalyse tot een maximum van 50 subcommando's. Als een opdrachtketen langer is, worden de individuele controles overgeslagen en krijgt de gebruiker een algemene prompt te zien met de vraag of de opdracht moet worden uitgevoerd.

Dit gedrag kan worden misbruikt door promptinjectie. Bij dit type aanval manipuleert een aanvaller de invoer van de AI om de beveiligingsfilters te omzeilen. Een aanvaller kan bijvoorbeeld een gemanipuleerd bestand met de naam "CLAUDE.md" in een openbare softwarerepository plaatsen. Dit bestand bevat instructies voor de AI-agent. Als een ontwikkelaar de repository kloont en de agent vraagt om het project te bekijken, kan de AI de opdracht krijgen om een keten van meer dan 50 schijnbaar legitieme opdrachten uit te voeren.

Hier is het volledige artikel gebaseerd op uw vereisten en de opening die u hebt opgegeven.

Beveiligingsrisico in Claude Code: Lek maakt diefstal van gegevens mogelijk

Kort na een onopzettelijk lek in de broncode werd een kritieke kwetsbaarheid ontdekt in de AI-coderingsagent Claude Code. Hierdoor kunnen aanvallers beveiligingsregels omzeilen en gevoelige gegevens zoals SSH-sleutels van de machines van ontwikkelaars stelen.

Op 31 maart zette Anthropic, het bedrijf achter de Claude AI, per ongeluk een groot deel van de code achter de codeeragent Claude Code online. De broncode werd toegankelijk door de toevallige publicatie van een zogenaamde source map, een bestand dat gecompileerde programmacode terug vertaalt naar een voor mensen leesbare vorm, op npm, een pakketbeheerder voor JavaScript. Hierdoor konden onderzoekers de code van de AI-agent reconstrueren. Het resultaat is ongeveer 512.000 regels TypeScript, een programmeertaal die op JavaScript is gebouwd en extra typing toevoegt.

Hoewel er geen modelgewichten of klantgegevens direct werden blootgelegd, geeft het lek een gedetailleerde blauwdruk van hoe de tool werkt. Dit maakt het voor potentiële aanvallers gemakkelijker om gerichte kwetsbaarheden te identificeren of zeer overtuigende kopieën van het programma te maken die malware kunnen verspreiden. In deze context ontdekte het team van Adversa AI een kritieke beveiligingsfout in het toestemmingssysteem van Claude Code.

Claude Code is een terminal-gebaseerde assistent die direct in de commandoregel werkt en zowel bestanden kan bewerken als shell-opdrachten kan uitvoeren. Om de beveiliging te handhaven, gebruikt het hulpprogramma een systeem van toestemmingsregels. Gebruikers kunnen zogenaamde deny rules definiëren die bepaalde commando's strikt blokkeren, bijvoorbeeld het commando "curl," dat gebruikt wordt om gegevens over een netwerk te versturen. Andere commando's, zoals "git" voor versiebeheer, kunnen daarentegen expliciet worden toegestaan.

De ontdekte kwetsbaarheid zit in de afhandeling van complexe opdrachtketens. Om prestatieproblemen en vastlopen van de UI te voorkomen, beperkt Anthropic zijn gedetailleerde beveiligingsanalyse tot een maximum van 50 subcommando's. Als een opdrachtketen langer is, worden de individuele controles overgeslagen en krijgt de gebruiker een algemene prompt te zien met de vraag of de opdracht moet worden uitgevoerd.

Dit gedrag kan worden uitgebuit door middel van zogenaamde promptinjectie. Bij dit type aanval manipuleert een aanvaller de invoer naar de AI om de beveiligingsfilters te omzeilen. Een aanvaller kan bijvoorbeeld een gemanipuleerd bestand met de naam "CLAUDE.md" in een openbare softwarerepository plaatsen. Dit bestand bevat instructies voor de AI-agent. Als een ontwikkelaar het archief kloont en de agent vraagt om het project te bouwen, kan de AI de opdracht krijgen om een keten van meer dan 50 schijnbaar legitieme opdrachten uit te voeren.

Vanaf de 51e opdracht zijn de individueel geconfigureerde weigeringsregels niet meer van toepassing. Een enkele "curl"-opdracht zou worden geblokkeerd, maar wordt genegeerd wanneer deze in een lange keten is ingebed. Hierdoor kunnen aanvallers gevoelige gegevens zoals SSH-sleutels, cryptografische sleutels die worden gebruikt voor beveiligde externe toegang tot servers, of cloudreferenties op de achtergrond van de lokale machine van de ontwikkelaar naar een externe server sturen. Omdat het systeem in dit geval alleen om een algemene bevestiging vraagt, merkt de gebruiker niet dat zijn beveiligingsbeleid feitelijk buiten werking is gesteld.

Bijzonder opmerkelijk is dat de uitgelekte broncode voor versie 2.1.88 al een oplossing voor dit probleem bevatte. Anthropic had een modernere parser ontwikkeld, een programma dat wordt gebruikt om codestructuren te analyseren, dat op de juiste manier ontkenningsregels controleert, ongeacht de lengte van de opdrachtketen. Dit was echter niet geïmplementeerd in de openbare versies van het programma. In plaats daarvan bleef het oudere, gebrekkige mechanisme gebruikt worden.

Anthropic lijkt het probleem ondertussen opgelost te hebben. Volgens de changelog voor versie 2.1.90is een probleem opgelost dat wordt beschreven als parse-fail fallback deny-rule degradatie. Volgens de onderzoekers die het potentiële beveiligingslek hebben geïdentificeerd, zijn er echter het potentiële beveiligingslek, zijn er andere manieren om het probleem aan te pakken.