Selon Check Point Research, deux vulnérabilités critiques dans l’outil de développement IA Claude Code d’Anthropic ont permis une exécution de code à distance (RCE) et le vol de clés API en abusant de fichiers de configuration au niveau des dépôts, activés automatiquement à l’ouverture d’un projet. Les chercheurs décrivent comment des mécanismes intégrés (Hooks, intégrations MCP, variables d’environnement) ont pu contourner les contrôles de confiance et rediriger le trafic authentifié avant tout consentement utilisateur.

Les fichiers de configuration de projet, perçus comme de simples métadonnées, se sont révélés faire partie d’une couche d’exécution. Dans certains cas, le fait de cloner puis d’ouvrir un dépôt malveillant suffisait à: 1) déclencher des commandes cachées sur l’endpoint, 2) bypasser les invites de confiance, 3) exposer des clés API Anthropic actives, et 4) étendre l’impact aux espaces de travail cloud partagés — sans indication visible pour l’utilisateur. 🚨

Les impacts détaillés se déclinent en trois volets:

    1. Exécution silencieuse de commandes via Claude Hooks: des actions prédéfinies pouvaient lancer des commandes shell dès l’initialisation de l’outil.
    1. Bypass du consentement utilisateur MCP (CVE-2025-59536): des paramètres contrôlés par le dépôt pouvaient outrepasser les garde-fous et initialiser des services avant tout accord, inversant le modèle de contrôle.
    1. Vol de clé API avant confirmation de confiance (CVE-2026-21852): en redirigeant le trafic API (y compris l’en-tête d’authentification) vers un serveur attaquant, la clé active pouvait être exfiltrée dès l’ouverture du projet.

Pourquoi c’est critique: la fonctionnalité Workspaces de l’API Anthropic associe les fichiers à l’espace de travail plutôt qu’à une seule clé. Une clé compromise pouvait ainsi permettre d’accéder, modifier ou supprimer des données cloud partagées, téléverser du contenu malveillant, et générer des coûts non autorisés, faisant passer l’impact de l’individu à l’échelle de l’équipe.

Remédiation et divulgation: Check Point Research indique avoir collaboré avec Anthropic. Des correctifs ont renforcé les invites de confiance, empêché l’exécution d’outils externes avant approbation explicite, et bloqué les communications API jusqu’à confirmation de confiance. Tous les problèmes signalés ont été corrigés avant divulgation publique. L’article souligne un changement structurel: dans les outils IA, les configurations de dépôt deviennent une surface d’exécution et déplacent les frontières de confiance. Il s’agit d’une publication de recherche visant à documenter ces vulnérabilités et à mettre en lumière l’évolution du modèle de menace dans la supply chain.

TTPs observés:

  • Abus des Hooks pour exécution de commandes au démarrage de session.
  • Bypass des invites MCP via configurations de dépôt (CVE-2025-59536).
  • Redirection du trafic API et interception de l’en-tête Authorization (CVE-2026-21852).
  • Usage de variables d’environnement et intégrations pour contourner les contrôles de confiance.
  • Déclenchement d’actions avant consentement et extension d’impact via Workspaces partagés.

IOCs:

  • Aucun IOC (domaine, IP, hash) fourni par la source.

🧠 TTPs et IOCs détectés

TTP

[‘Abus des Hooks pour exécution de commandes au démarrage de session’, ‘Bypass des invites MCP via configurations de dépôt (CVE-2025-59536)’, ‘Redirection du trafic API et interception de l’en-tête Authorization (CVE-2026-21852)’, ‘Usage de variables d’environnement et intégrations pour contourner les contrôles de confiance’, ‘Déclenchement d’actions avant consentement et extension d’impact via Workspaces partagés’]

IOC

Aucun IOC (domaine, IP, hash) fourni par la source

🔗 Source originale : https://blog.checkpoint.com/research/check-point-researchers-expose-critical-claude-code-flaws/