Claud-Code-Leak: Forscher finden erste Sicherheitslücke

Am 31. März hat Anthropic, das Unternehmen hinter der KI Claude aus Versehen einen Großteil des Codes hinter dem Coding-Agenten Claude Code ins Netz gestellt. Seitdem versucht Anthropic gegen Kopien dieses Codes vorzugehen. In dem Code sind Analysten bisher auf einige für Anthropic unangenehme Informationen gestoßen. Darunter das YOLO-Protokoll. 

Obwohl keine Modellgewichte von dem Leak betroffen waren, liefert er eine detaillierte Blaupause für die  Funktionsweise des Tools. Dies erleichtert es potenziellen Angreifern, gezielte Schwachstellen zu finden oder täuschend echte Kopien des Programms zu erstellen, die Malware verbreiten könnten. In diesem Zusammenhang entdeckte das Team von Adversa AI eine kritische Sicherheitslücke im Berechtigungssystem von Claude Code.

Claude Code ist ein terminalbasierter Assistent, der direkt in der Kommandozeile arbeitet und Dateien bearbeiten sowie Shell-Befehle ausführen kann. Um die Sicherheit zu gewährleisten, nutzt das Tool ein System aus Erlaubnisregeln. Nutzer können sogenannte Deny-Rules definieren, welche bestimmte Befehle strikt verbieten, etwa den Befehl „curl“, der zum Übertragen von Daten über das Netzwerk genutzt wird. Andere Befehle wie „git“ für die Versionsverwaltung können hingegen explizit erlaubt werden.

Die entdeckte Schwachstelle liegt in der Verarbeitung komplexer Befehlsketten. Um Performance-Probleme und das Einfrieren der Benutzeroberfläche zu vermeiden, begrenzt Anthropic die detaillierte Sicherheitsanalyse auf maximal 50 Unterbefehle. Wenn eine Befehlskette länger ist, wird die Einzelprüfung übersprungen und stattdessen eine allgemeine Abfrage an den Nutzer gesendet, ob der Befehl ausgeführt werden soll.

Dieses Verhalten könnte durch eine Prompt Injection ausgenutzt werden. Ein Angreifer manipuliert dabei die Inputs der KI, um ihre Sicherheitsfilter zu umgehen. Konkret könnte ein Angreifer etwa in einem öffentlichen Software-Repository eine manipulierte Datei namens „CLAUDE.md“ hinterlegen. Diese Datei enthält Anweisungen für den KI-Agenten. Wenn ein Entwickler das Repository klont und den Agenten bittet, das Projekt zu prüfen, könnte die KI angewiesen werden, eine Kette von über 50 legitim wirkenden Befehlen auszuführen.

Hier ist der vollständige Artikel basierend auf deinen Vorgaben und dem von dir gelieferten Einstieg.

**Sicherheitsrisiko bei Claude Code: Leak und Lücke ermöglichen Datenklau**

Kurz nach einem versehentlichen Quellcode-Leak wurde in dem KI-Coding-Agenten Claude Code eine kritische Schwachstelle gefunden. Diese ermöglicht es Angreifern, Sicherheitsregeln zu umgehen und sensible Daten wie SSH-Keys von Entwicklerrechnern zu stehlen.

Am 31. März hat Anthropic, das Unternehmen hinter der KI Claude, aus Versehen einen Großteil des Codes hinter dem Coding-Agenten Claude Code ins Netz gestellt. Durch die versehentliche Veröffentlichung einer sogenannten Sourcemap – eine Datei, welche den kompilierten Programmcode wieder in eine für Menschen lesbare Form übersetzt – auf npm, einem Paketmanager für JavaScript, wurde der Quellcode zugänglich. In der Folge gelang es Forschern, den Code des KI-Agenten zu rekonstruieren. Das Ergebnis umfasst etwa 512.000 Zeilen TypeScript, einer Programmiersprache, die auf JavaScript aufbaut und zusätzliche Typisierung bietet.

Obwohl keine Modellgewichte oder Kundendaten direkt exponiert wurden, liefert der Leak eine detaillierte Blaupause der Funktionsweise des Tools. Dies erleichtert es potenziellen Angreifern, gezielte Schwachstellen zu finden oder täuschend echte Kopien des Programms zu erstellen, die Malware verbreiten könnten. In diesem Zusammenhang entdeckte das Team von Adversa AI eine kritische Sicherheitslücke im Berechtigungssystem von Claude Code.

Claude Code ist ein terminalbasierter Assistent, der direkt in der Kommandozeile arbeitet und Dateien bearbeiten sowie Shell-Befehle ausführen kann. Um die Sicherheit zu gewährleisten, nutzt das Tool ein System aus Erlaubnisregeln. Nutzer können sogenannte Deny-Rules definieren, welche bestimmte Befehle strikt verbieten, beispielsweise den Befehl „curl“, der zum Übertragen von Daten über das Netzwerk genutzt wird. Andere Befehle wie „git“ für die Versionsverwaltung können hingegen explizit erlaubt werden.

Die entdeckte Schwachstelle liegt in der Verarbeitung komplexer Befehlsketten. Um Performance-Probleme und das Einfrieren der Benutzeroberfläche zu vermeiden, begrenzt Anthropic die detaillierte Sicherheitsanalyse auf maximal 50 Unterbefehle. Wenn eine Befehlskette länger ist, wird die Einzelprüfung übersprungen und stattdessen eine allgemeine Abfrage an den Nutzer gesendet, ob der Befehl ausgeführt werden soll.

Dieses Verhalten kann durch eine sogenannte Prompt Injection ausgenutzt werden. Hierbei manipuliert ein Angreifer die Eingaben für die KI, um deren Sicherheitsfilter zu umgehen. Konkret könnte ein Angreifer in einem öffentlichen Software-Repository eine manipulierte Datei namens „CLAUDE.md“ hinterlegen. Diese Datei enthält Anweisungen für den KI-Agenten. Wenn ein Entwickler das Repository klont und den Agenten bittet, das Projekt zu bauen, könnte die KI angewiesen werden, eine Kette von über 50 legitimen wirkenden Befehlen auszuführen.

Ab dem 51. Befehl greifen die individuell konfigurierten Verbotsregeln nicht mehr. Während ein einzelner „curl“-Befehl blockiert würde, wird er innerhalb einer langen Kette ignoriert. Dies ermöglicht es Angreifern, im Hintergrund sensible Daten wie SSH-Keys – kryptografische Schlüssel für den sicheren Fernzugriff auf Server – oder Cloud-Zugangsdaten von der lokalen Maschine des Entwicklers an einen externen Server zu senden. Da das System in diesem Fall nur eine allgemeine Bestätigung anfordert, bemerkt der Nutzer nicht, dass seine Sicherheitsrichtlinien gerade außer Kraft gesetzt wurden.

Besonders bemerkenswert ist dabei, dass im geleakten Quellcode der Version 2.1.88 bereits eine Lösung für dieses Problem existierte. Anthropic hatte einen moderneren Parser entwickelt, ein Programm zur Analyse von Codestrukturen, der die Verbotsregeln unabhängig von der Länge der Befehlskette korrekt prüft. Dies wurde jedoch in den öffentlichen Versionen des Programms nicht implementiert; stattdessen kam weiterhin der ältere, fehlerhafte Mechanismus zum Einsatz.

Anthropic hat das Problem inzwischen anscheinend behoben. Ein als parse-fail fallback deny-rule degradation benanntes Problem wurde laut Changelog zu Version 2.1.90 behoben. Allerdings gibt es laut den Entdeckern der potenziellen Sicherheitslücke auch weitere Möglichkeiten, um das Problem zu beheben.