Claude Kodläcka: Forskare hittar första sårbarheten

Den 31 mars lade Anthropic, företaget bakom Claude AI, av misstag ut en stor del av koden bakom kodningsagenten Claude Code på nätet. Sedan dess har Har Anthropic försökt att vidta åtgärder mot kopior av den koden. Analytiker har redan hittat viss information i koden som är potentiellt besvärlig för Anthropic. Det gäller bland annat YOLO-protokollet.

Även om inga modellvikter påverkades av läckan, ger den en detaljerad plan för hur verktyget fungerar. Detta gör det lättare för potentiella angripare att identifiera riktade sårbarheter eller skapa mycket övertygande kopior av programmet som kan sprida skadlig kod. I detta sammanhang har teamet på Adversa AI upptäckt en kritisk säkerhetsbrist i Claude Codes behörighetssystem.

Claude Code är en terminalbaserad assistent som arbetar direkt i kommandoraden och kan redigera filer samt utföra skalkommandon. För att upprätthålla säkerheten använder verktyget ett system med behörighetsregler. Användare kan definiera så kallade deny-regler som strikt blockerar vissa kommandon, t.ex. kommandot "curl" som används för att överföra data över ett nätverk. Andra kommandon, t.ex. "git" för versionshantering, kan däremot uttryckligen tillåtas.

Den upptäckta sårbarheten ligger i hanteringen av komplexa kommandokedjor. För att undvika prestandaproblem och att gränssnittet fryser begränsar Anthropic sin detaljerade säkerhetsanalys till högst 50 underkommandon. Om en kommandokedja är längre hoppas de enskilda kontrollerna över och en allmän prompt visas för användaren som frågar om kommandot ska utföras.

Detta beteende kan utnyttjas genom prompt injection. I den här typen av attack manipulerar en angripare AI:ns indata för att kringgå dess säkerhetsfilter. En angripare kan t.ex. placera en manipulerad fil med namnet "CLAUDE.md" i ett offentligt programvaruarkiv. Den här filen innehåller instruktioner för AI-agenten. Om en utvecklare klonar förvaret och ber agenten att granska projektet kan AI instrueras att utföra en kedja med mer än 50 till synes legitima kommandon.

Här är hela artikeln baserad på dina krav och den öppning du angav.

Säkerhetsrisk i Claude Code: Läckage möjliggör datastöld

Strax efter en oavsiktlig källkodsläcka upptäcktes en kritisk sårbarhet i AI-kodningsagenten Claude Code. Den gör det möjligt för angripare att kringgå säkerhetsregler och stjäla känsliga data som SSH-nycklar från utvecklarnas maskiner.

Den 31 mars lade Anthropic, företaget bakom Claude AI, av misstag ut en stor del av koden bakom kodningsagenten Claude Code på nätet. Källkoden blev tillgänglig genom en oavsiktlig publicering av en så kallad source map, en fil som översätter kompilerad programkod tillbaka till en mänskligt läsbar form, på npm, en pakethanterare för JavaScript. Som ett resultat av detta kunde forskarna rekonstruera koden för AI-agenten. Resultatet uppgår till cirka 512.000 rader TypeScript, ett programmeringsspråk som bygger på JavaScript och som lägger till ytterligare typning.

Även om inga modellvikter eller kunddata exponerades direkt, ger läckan en detaljerad plan för hur verktyget fungerar. Det gör det lättare för potentiella angripare att identifiera sårbarheter eller skapa mycket övertygande kopior av programmet som kan sprida skadlig kod. I detta sammanhang upptäckte teamet på Adversa AI en kritisk säkerhetsbrist i Claude Codes behörighetssystem.

Claude Code är en terminalbaserad assistent som arbetar direkt i kommandoraden och kan redigera filer samt utföra skalkommandon. För att upprätthålla säkerheten använder verktyget ett system med behörighetsregler. Användare kan definiera s.k. deny-regler som strikt blockerar vissa kommandon, t.ex. kommandot "curl" som används för att överföra data över ett nätverk. Andra kommandon, t.ex. "git" för versionshantering, kan däremot uttryckligen tillåtas.

Den upptäckta sårbarheten ligger i hanteringen av komplexa kommandokedjor. För att undvika prestandaproblem och att gränssnittet fryser begränsar Anthropic sin detaljerade säkerhetsanalys till högst 50 underkommandon. Om en kommandokedja är längre hoppas de enskilda kontrollerna över och en allmän prompt visas för användaren som frågar om kommandot ska utföras.

Detta beteende kan utnyttjas genom s.k. prompt injection. I denna typ av attack manipulerar en angripare indata till AI:n för att kringgå dess säkerhetsfilter. Specifikt kan en angripare placera en manipulerad fil med namnet "CLAUDE.md" i ett offentligt programvaruarkiv. Den här filen innehåller instruktioner för AI-agenten. Om en utvecklare klonar arkivet och ber agenten att bygga projektet, kan AI:n instrueras att utföra en kedja med mer än 50 till synes legitima kommandon.

Från och med det 51:a kommandot gäller inte längre de individuellt konfigurerade avvisningsreglerna. Även om ett enskilt "curl"-kommando skulle blockeras ignoreras det när det är inbäddat i en lång kedja. Detta gör att angripare kan skicka känsliga data som SSH-nycklar, kryptografiska nycklar som används för säker fjärråtkomst till servrar eller molnuppgifter från utvecklarens lokala maskin till en extern server i bakgrunden. Eftersom systemet i det här fallet bara begär en allmän bekräftelse märker användaren inte att deras säkerhetspolicyer i praktiken har åsidosatts.

Särskilt anmärkningsvärt är att den läckta källkoden för version 2.1.88 redan innehöll en lösning på detta problem. Anthropic hade utvecklat en modernare parser, ett program som används för att analysera kodstrukturer, som korrekt kontrollerar deny-regler oavsett längden på kommandokedjan. Detta implementerades dock inte i de publika versionerna av programmet. Istället fortsatte den äldre bristfälliga mekanismen att användas.

Anthropic verkar ha löst problemet under tiden. Enligt changelog för version 2.1.90har ett problem som beskrivs som parse-fail fallback deny-rule degradation åtgärdats. Men enligt de forskare som identifierade den potentiella säkerhetsbristen finns det andra sätt att ta itu med problemet.