Eksperci ds. bezpieczeństwa wskazują na istotne zagrożenia związane z narzędziami AI wspierającymi programowanie. Analitycy Check Point Research zidentyfikowali dwie poważne luki w Claude Code – rozwiązaniu rozwijanym przez Anthropic – które mogły umożliwiać przejęcie kontroli nad środowiskiem użytkownika w sposób trudny do wykrycia.
Z analizy wynika, że odpowiednio spreparowane repozytorium mogło stać się wektorem ataku już na etapie jego otwierania. Wykorzystując pliki konfiguracyjne, napastnik był w stanie doprowadzić do automatycznego uruchomienia określonych działań, które z perspektywy użytkownika wyglądały jak standardowe operacje narzędzia.
Mechanizm ataku opierał się m.in. na funkcjach automatyzacji (Hooks), integracjach MCP oraz manipulacji ustawieniami środowiskowymi. W efekcie możliwe było wykonywanie poleceń systemowych bez świadomej zgody użytkownika, a także obejście mechanizmów weryfikacji zaufania. W jednym ze scenariuszy badacze wykazali również możliwość przechwycenia aktywnego klucza API poprzez przekierowanie autoryzowanego ruchu do infrastruktury kontrolowanej przez atakującego – jeszcze przed zatwierdzeniem zaufania do projektu.
Najpoważniejsze konsekwencje wiążą się jednak ze skalą potencjalnego naruszenia. W modelu Workspaces przejęty klucz API mógł zapewnić dostęp do współdzielonych zasobów zespołu – od odczytu danych, przez ich modyfikację i usuwanie, po generowanie nieautoryzowanych kosztów wykorzystania API.
Jak podkreślają badacze, incydent ten pokazuje szerszy trend. „Narzędzia do tworzenia oprogramowania z wykorzystaniem AI nie są już dodatkowymi, pobocznymi narzędziami, a stają się elementem infrastruktury. Gdy warstwy automatyzacji zyskują możliwość wpływania na wykonywanie poleceń i zachowanie środowiska, zmieniają się granice zaufania. Organizacje, które przyspieszają wdrażanie AI, muszą dopilnować, by ich modele bezpieczeństwa ewoluowały w tym samym tempie” – stwierdził Oded Vanunu, jeden z ekspertów stojących za odkryciem.
Zidentyfikowane podatności otrzymały oznaczenia CVE-2025-59536 oraz CVE-2026-21852. Po zgłoszeniu problemu producent wdrożył poprawki – wzmocniono mechanizmy potwierdzania zaufania, zablokowano uruchamianie zewnętrznych narzędzi przed akceptacją użytkownika oraz ograniczono komunikację API do momentu autoryzacji.
