Век AI — это прекрасно, пока твой репозиторий не решит сыграть в «открой-меня-кабель», — и да, это смешно до тех пор, пока калькулятор на ноутбуке не открывается сам по себе. Исследователи Check Point показали, как Claude Code превратил удобные командные настройки в новый вектор атаки на цепочки поставок ПО.

Три уязвимости, задокументированные в отчёте Check Point (https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/), раскрывают разные грани проблемы. Во-первых, Hooks, записанные в .claude/settings.json, могли запускать shell-команды на машинах разработчиков без дополнительного подтверждения — от невинного открытия калькулятора до скачивания и запуска обратной оболочки (демо: https://youtu.be/BJjkYZwMfG0). Фикс был выпущен и задокументирован в GitHub Security Advisory (GHSA-ph6w-f82w-28w6).

Во-вторых, обход запроса на согласие для MCP позволял моментально выполнить команды, ещё до того, как пользователь успевал прочитать предупреждение — снова путь к удалённому выполнению (демо: https://youtu.be/RlmEcN7csDI). Это стало основой для CVE-2025-59536 (https://nvd.nist.gov/vuln/detail/CVE-2025-59536).

И, наконец, трюк с переменной ANTHROPIC_BASE_URL позволял перенаправлять трафик на серверы злоумышленника и наблюдать за авторизационными заголовками — то есть красть действующие API-ключи в явном виде. С украденным ключом злоумышленник мог писать в workspace, регенерировать файлы и получить доступ к артефактам (демо: https://youtu.be/jMeeVxqU3hY). Патч и CVE-2026-21852 (https://nvd.nist.gov/vuln/detail/CVE-2026-21852) были выпущены после сообщения от Check Point.

Вывод прост и немного банален: интеграция AI-инструментов в рабочие процессы даёт ускорение, но и добавляет новые поверхности атаки — особенно когда конфигурации хранятся прямо в репозитории. Благодарим исследователей и разработчиков за быстрые исправления; такие истории напоминают, что безопасность — это совместное искусство, а не волшебный переключатель. Для тех, кто работает с Claude Code: проверяйте настройки в репозиториях, ограничивайте права на коммиты и минимизируйте доверие к внешним конфигурациям.