Les chercheurs en cybersécurité ont découvert de graves défaillances dans Claude Code, l'assistant de programmation anthropique, qui permet de passer de l'exécution de commande à distance au vol de clés API. Selon l'analyse publique de Check Point, les problèmes profitent des mécanismes de configuration légitimes - tels que les serveurs « hooks », Model Context Protocol (MCP) et les variables d'environnement - pour exécuter des ordres arbitraires et filtrer les identifiants lorsqu'un développeur clone et ouvre un dépôt malveillant. Vous pouvez lire le rapport de contrôle ici: Recherche au point de contrôle et l'étude technique étendue sur son site web: Les URCE et l'API prennent l'exfiltration à travers les fichiers de projets Claude Code.
Les vulnérabilités se distinguent par la façon dont elles redéfinissent le périmètre de risque : il ne s'agit plus seulement d'exécuter un code malveillant sur un ordinateur, mais à propos de cela l'acte d'ouverture d'un projet peut suffire à compromettre les pouvoirs et les commandes de lancement. Dans ce cas particulier, les configurations incluses dans les fichiers du dépôt lui-même - par exemple .claude / settings.json ou .mcp.json - pourraient changer le comportement du client et provoquer des appels sortants avant que l'utilisateur confirme sa confiance dans le projet. Il en résulte que les clés Anthropiques actives peuvent être envoyées aux serveurs contrôlés par un attaquant, ou que l'initialisation des intégrations externes peut être forcée sans consentement.
Les jugements ont été classés en plusieurs catégories et certains ont déjà des identificateurs publics (CVE). Un problème sans CVE signalé, avec une haute gravité (CVSS 8.7), a permis de sauter les mécanismes de consentement en commençant Claude Code dans un nouveau répertoire et en activant des crochets définis par le projet. Un autre défaut attribué comme CVE-2025-59536 Il a également permis l'injection de code en manipulant la configuration MCP et l'option qui permet les serveurs MCP du projet. Enfin, CVE-2026-21852 Il a affecté le flux d'information dans le débit de charge du projet, permettant l'envoi de clés vers les points d'arrêt adverses avant de montrer l'avis de confiance. Les corrections ont été publiées dans différentes versions du client: par exemple, la version 1.0.87, 1.0.111 et la branche 2.0.65 incluent des correctifs pour ces défaillances.
Document anthropique comment fonctionnent les intégrations et les mécanismes de configuration; le guide Crochets et la section paramètres aident à comprendre où l'opération s'est déroulée: Guide des crochets et la page d'ajustement Établissements où il y a l'option qui a permis l'escalade des privilèges (" activerAllProjectMcpServers") quand il a été activé par des fichiers de dépôt.
Les conséquences pratiques sont inquiétantes. Un attaquant qui capture une clé API peut rediriger le trafic authentifié vers une infrastructure contrôlée par elle, consommer des services au nom de la victime (engendrant des coûts inattendus), insérer ou supprimer des fichiers dans des projets partagés ou simplement utiliser cette position pour se déplacer latéralement dans des environnements cloud. Bref, il existe un moyen d'accéder aux ressources qui étaient traditionnellement protégées par d'autres obstacles que ceux exploités par ces assistants au développement.
Face à de tels scénarios, la réponse immédiate est technique et opérationnelle. D'une part, Anthropic a libéré des patchs et est fondamental mettre à jour le code Claude aux versions corrigées qui ferment ces vecteurs d'attaque. Les avis et corrections apparaissent dans les dépôts de sécurité : vérifiez les avis officiels dans GitHub pour confirmer la version que vous devez appliquer : Avis. D'autre part, les bonnes pratiques de développement prennent à nouveau la tête : gérer les qualifications avec des politiques moins privilégiées, rotation des clés engagées et éviter les clés permanentes dans des environnements de travail unisolés sont des mesures qui réduisent l'impact en cas de fuite.
Outre les correctifs et la rotation des secrets, il convient de revoir la manière dont les projets tiers sont fiables. Dans les environnements professionnels, ouvrir un dépôt inconnu dans le même contexte où les outils fonctionnant avec une capacité de fonctionnement et un réseau devraient nécessiter des conteneurs virtuels isolés ou des machines, des environnements de test éphémère ou un processus de vérification qui inspecte les fichiers de configuration avant de permettre l'initialisation. Il est également recommandé de désactiver les options qui activent les serveurs MCP automatiques ou les exécutions de crochets jusqu'à ce qu'ils aient validé leur origine.
Au-delà des recommandations immédiates, l'affaire Claude Code met en évidence une transformation plus large de la surface de l'attaque : les fichiers de configuration et les couches d'automatisation font partie du plan d'exécution. Ce qui était précédemment perçu comme un contexte opérationnel - comment un outil est orchestré - peut maintenant déterminer les comportements qui affectent la sécurité du système. Par conséquent, la chaîne d'approvisionnement logicielle dans le monde des outils assistés par l'IA commence non seulement avec le code source, mais avec les pièces qui automatisent, intègrent et prolongent ce code.
Pour ceux qui utilisent des assistants de code pilotés par l'IV, la note pratique est claire : mise à jour, vérification et isolement. En plus de l'analyse des points de contrôle, des avis de sécurité dans les dépôts officiels et la documentation anthropique sont requis pour les gestionnaires et les développeurs intéressés à protéger leur environnement. Consultez les rapports et les avis relatifs à ces incidents aux liens de référence : Recherche au point de contrôle, l'étude technique du point de contrôle ( Recherche) et les avis d'Anthropic à GitHub ( Pas de conseil CVE, CVE-2025-59536, CVE-2026-21852).
En fin de compte, l'histoire rappelle que l'adoption d'outils puissants apporte des avantages incontestables, mais qu'il faut aussi repenser la sécurité à partir de couches jusque-là considérées comme inoffensives. Mettre à jour rapidement et concevoir des workflows qui n'exposent pas les secrets ou permettent des exécutions automatiques dans des environnements non isolés sont des étapes essentielles pour tirer parti de ces outils sans les transformer en porte d'entrée pour les attaquants.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...