Banken sperren Kredite bei ungepüftem KI-Einsatz
11/06/2026
Untersuchung gegen Firmen wegen Gehaltskürzungen durch KI
11/06/2026
Eine schwerwiegende Sicherheitslücke hat die Welt der KI-Coding-Tools erschüttert. Forscher entdeckten, dass beliebte Assistenten, darunter Claude Code und mit OpenAI verbundene Tools, dazu gebracht werden können, Hackern zu ermöglichen, Dateien auf dem Desktop eines Nutzers unbemerkt zu überschreiben. Keine dramatische Warnung. Keine offensichtlichen Anzeichen. Nur stille Veränderungen, die sich einschleichen. Die Frage, die sich lohnt zu stellen, ist, wie viele Entwickler bereits betroffen sein könnten , und die Antwort ist beunruhigender als erwartet.
Kritische Sicherheitslücke aufgedeckt
Ein schwerwiegender Sicherheitsfehler in Anthropics Claude Code hat Angreifern einen unkomplizierten Weg zur Remote-Code-Ausführung eröffnet , und zwar durch nichts weiter als einen manipulierten Link. Der Forscher Joernchen von 0day.click veröffentlichte die Ergebnisse am 12. Mai 2026 und enthüllte, dass bösartige ‘claude-cli://‘-Deeplinks beliebige Einstellungen und Shell-Befehle direkt in die Claude-Code-Instanz eines Opfers einschleusen konnten. Die Auswirkungen sind erheblich für Entwickler, die täglich auf das Tool angewiesen sind, da eine einzige Link-Interaktion ausreichte, um die Konfiguration umzuschreiben und vom Angreifer kontrollierte Befehle auf dem Zielsystem auszuführen. Anthropic hat das Problem in Version 2.1.118 behoben, doch die Offenlegung verleiht den wachsenden Bedenken hinsichtlich der Sicherheitslage von KI-Coding-Assistenten als gesamter Kategorie zusätzliches Gewicht. Der Angriff wurde zusätzlich durch die Möglichkeit verstärkt, den Workspace-Vertrauensdialog vollständig zu umgehen, wobei Angreifer einen vertrauenswürdigen Repo-Parameter nutzten, der mit lokal geklonten Repositories übereinstimmte, um Warnhinweise zu unterdrücken und so eine stille Hintergrundausführung ohne jegliche Benutzerbestätigung zu ermöglichen.
Bestätigte Schwachstelle für Remote-Code-Injektion
Sicherheitsforscher von Check Point haben mehrere Code-Injection-Schwachstellen in Claude Code, dem KI-gestützten Programmierassistenten von Anthropic, offengelegt. Diese Schwachstellen setzen Benutzer beim Öffnen nicht vertrauenswürdiger Repositories einer beliebigen Shell-Befehlsausführung und Remote-Code-Ausführung aus.
Die bestätigten Angriffspfade konzentrieren sich auf drei primäre Mechanismen. Bösartige Repositories können speziell gestaltete ‘.claude/settings.json‘-Dateien einbetten, um das Hooks-System von Claude auszulösen und beim Sitzungsstart vom Angreifer kontrollierte Shell-Befehle auszuführen. Ein separater Bypass der Benutzerzustimmung ermöglicht es nicht vertrauenswürdigen Verzeichnissen, Werkzeuge automatisch zu initialisieren und beliebige Befehle ohne zusätzliche Bestätigung auszuführen. Ein dritter Angriffsvektor umfasst Prompt-Injection über GitHub-Actions-Workflows, wobei bösartige Anweisungen direkt in den LLM-Kontext eingefügt werden und eine Codeausführung innerhalb von CI/CD-Pipelines erreicht wird.
Speziell gestaltete ‘claude-cli://‘-Deeplinks stellen einen weiteren Injektionspfad dar, der in der Lage ist, die lokalen Claude-Code-Einstellungen eines Opfers zu verändern und aus der Ferne bösartige Ausführungen auszulösen. Claude Desktop wurde in einer separaten Offenlegung ebenfalls als Träger einer kritischen Remote-Code-Ausführungslücke mit einem CVSS-Wert von 10 identifiziert, die mit einem erweiterungsbezogenen Problem zusammenhängt.
Ein umfassenderes Angriffsmuster namens SymJack verstärkt das Risiko durch den Missbrauch vertrauenswürdig erscheinender Dateioperationen. Die Technik präsentiert der Genehmigungsschnittstelle einen harmlos wirkenden Dateikopivorgang, während das tatsächliche Schreibziel vom Angreifer kontrolliert wird, wodurch die sichtbaren Bestätigungsschritte vollständig umgangen werden. Beim Neustart wird der Angreifercode unter den Systemprivilegien des Opfers ausgeführt.
Die praktische Konsequenz über diese Vektoren hinweg ist die direkte Änderung von Quelldateien auf der lokalen Arbeitsstation, ohne dass eine herkömmliche Malware-Übertragung erforderlich ist. Kompromittierte Konfigurationsänderungen bleiben sitzungsübergreifend bestehen, indem Projekteinstellungen und das Startverhalten verändert werden. Das MCP Model Context Protocol ermöglicht es Claude Code, autonom mit externen Werkzeugen und Diensten zu interagieren, wodurch die Angriffsfläche über lokale Dateioperationen hinaus erweitert wird.
Check Point vergab einen CVSS-Wert von 8,7 für die Probleme mit dem Zustimmungs-Bypass und nicht vertrauenswürdigen Verzeichnissen, katalogisiert als CVE-2025–59536, behoben in Claude Code Version 1.0.111 im Oktober 2025. Eine sekundäre Schwachstelle zur Informationsoffenlegung, CVE-2026–21852, erhielt eine CVSS-Bewertung von 5,3 und wurde in Version 2.0.65 im Januar 2026 behoben.
Quellenangabe
- https://cyberpress.org/claude-code-rce-vulnerability/
- https://adversa.ai/blog/the-approval-prompt-is-lying-to-you-symlink-rce-in-five-ai-coding-agents-claude-code-cursor-antigravity-copilot-grok-build/
- https://thehackernews.com/2026/02/claude-code-flaws-allow-remote-code.html
- https://venturebeat.com/security/six-exploits-broke-ai-coding-agents-iam-never-saw-them
- https://ransomleak.com/blog/ai-coding-assistant-security-risks/
- https://www.youtube.com/watch?v=C56d0bqstGE
- https://cyberpress.org/security-flaw-in-claude/
- https://adversa.ai/blog/claude-code-security-bypass-deny-rules-disabled/
- https://www.htx.com/news/data-theft-at-will-major-vulnerability-exposed-in-this-popul-Hq22vVKh/
- https://venturebeat.com/security/anthropic-claude-code-security-reasoning-vulnerability-hunting
