![\"Claude](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-137.png\")
<\/a>
\nAbbildung: Benutzereinwilligungsdialog f\u00fcr die Initialisierung von MCP-Servern (Quelle: Screenshot von Check Point Software Technologies Ltd. in Claude Code)<\/em><\/p>\n3.\u00a0 \u00a0 API-Key-Diebstahl vor der Vertrauensbest\u00e4tigung (CVE-2026-21852)<\/h3>\n
Die schwerwiegendste Schwachstelle betrifft die Manipulation der API-Kommunikation<\/span>. Durch eine gezielte Konfigurations\u00e4nderung konnte der gesamte API-Verkehr, inklusive des vollst\u00e4ndigen Autorisierungs-Headers mit dem aktiven API-Key des Entwicklers, an einen Server des Angreifers umgeleitet werden. Dies geschah bereits beim \u00d6ffnen des Verzeichnisses, noch bevor der Nutzer eine Entscheidung \u00fcber die Vertrauensw\u00fcrdigkeit des Projekts treffen konnte.<\/p>\nAuswirkungen: Das Risiko jenseits des Desktops<\/h2>\n
In modernen Cloud-Entwicklungsumgebungen ist ein kompromittierter API-Key weit mehr als nur der Verlust eines einzelnen Zugangs. Das \u201eWorkspaces\"-Feature von Anthropic erm\u00f6glicht es mehreren Schl\u00fcsseln, Zugriff auf dieselben cloudbasierten Projektdateien zu teilen.\u00a0<\/span>Mit einem gestohlenen Schl\u00fcssel kann ein Angreifer:<\/p>\n\n- Auf alle geteilten Projektdateien innerhalb des Workspaces zugreifen.<\/span><\/li>\n
- In der Cloud gespeicherte Daten modifizieren oder l\u00f6schen<\/span>.<\/span><\/li>\n
- B\u00f6sartige Inhalte in bestehende Repositories hochladen<\/span>.<\/span><\/li>\n
- Unerwartete und potenziell enorme API-Nutzungskosten verursachen<\/span>.<\/li>\n<\/ul>\n
Damit skaliert ein individueller Fehler eines Entwicklers (das Klonen eines Repositories) unmittelbar zu einem teamweiten oder unternehmenskritischen Vorfall.<\/p>\n
Ein neues Bedrohungsmodell f\u00fcr die KI-Lieferkette<\/h2>\n
Mir wird ganz schlecht, wenn ich solche Sicherheitsberichte sehen. Mir rei\u00dfen alles, was irgendwie in Richtung Cybersicherheit ab, um \"uns\" diesbez\u00fcglich mit Begeisterung (KI-Entwicklung ist die Zukunft) in einen l\u00f6chrige Ruine zu st\u00fcrzen.<\/span><\/p>\nCheck Point Research hat eng mit Anthropic zusammengearbeitet, um diese Schwachstellen im Rahmen eines verantwortungsvollen Offenlegungsprozesses zu beheben<\/span>. Anthropic hat umgehend folgende Ma\u00dfnahmen implementiert:<\/p>\n\n- Die Zustimmungsabfragen f\u00fcr Nutzer wurden deutlich verst\u00e4rkt.<\/li>\n
- Verhinderung der Ausf\u00fchrung externer Tools ohne explizite Genehmigung<\/span>.<\/li>\n
- Blockierung s\u00e4mtlicher API-Kommunikation, bis der Nutzer das Projektverzeichnis verifiziert hat.<\/li>\n<\/ol>\n
Zwar hat Anthropic am Ende des Tages alle gemeldeten Probleme vor der \u00f6ffentlichen Bekanntgabe\u00a0 durch Check Point Research vollst\u00e4ndig behoben. Die Ergebnisse der Analyse von Check Point Research unterstreichen aber einen strukturellen Wandel in der Cybersicherheit<\/span>. <\/span><\/p>\nDas Risiko beschr\u00e4nkt sich nicht mehr darauf, dass ein Nutzer b\u00f6sartigen Code aktiv ausf\u00fchrt<\/span>. <\/span>In einer Welt KI-gest\u00fctzter Automatisierung beginnt das Risiko bereits beim \u00d6ffnen eines Projekts<\/span>. <\/span>Da KI-Tools zunehmend autonom Befehle ausf\u00fchren, externe Integrationen initialisieren und Netzkommunikation starten, werden Konfigurationsdateien zum neuen Prim\u00e4rziel f\u00fcr Lieferketten-Angriffe<\/span>.<\/span><\/p>\nOded Vanunu, Head of Product Vulnerability Research bei Check Point,<\/strong>\u00a0<\/strong>fasst die Quintessenz so zusammen: \"Diese Untersuchung verdeutlicht einen grundlegenden Wandel in der Art und Weise, wie wir im KI-Zeitalter \u00fcber Risiken nachdenken m\u00fcssen. KI-Entwicklungstools sind nicht mehr nur periphere Hilfsmittel, sondern sie werden selbst zur Infrastruktur. Wenn Automatisierungsebenen die F\u00e4higkeit erlangen, die Ausf\u00fchrung und das Verhalten der Umgebung zu beeinflussen, verschieben sich die Vertrauensgrenzen. Unternehmen, die die Einf\u00fchrung von KI vorantreiben, m\u00fcssen sicherstellen, dass sich ihre Sicherheitsmodelle im gleichen Tempo weiterentwickeln.\"<\/p>\nSicherheitstipps f\u00fcr (Unternehmens-)Nutzer<\/h2>\n
Unternehmen und Nutzer sollten folgende Sicherheitstipps beherzigen:<\/p>\n
\n- Tools auf dem neuesten Stand halten:<\/strong> Verantwortliche sollten sicherstellen, dass immer die neueste Version von Claude Code installiert ist. Da alle identifizierten Schwachstellen behoben wurden, bietet die aktuelle Version den effektivsten Schutz.<\/li>\n
- \u00dcberpr\u00fcfung von Konfigurationsverzeichnissen vor Projektstart<\/strong>: Vor dem \u00d6ffnen von Projekten sollten toolspezifische Ordner wie .claude\/, .vscode\/ und \u00e4hnliche Verzeichnisse auf verd\u00e4chtige Inhalte untersucht werden.<\/li>\n
- Beachtung von Tool-Warnungen:<\/strong> Warnhinweise zu potenziell unsicheren Dateien m\u00fcssen selbst in legitim erscheinenden Repositories konsequent ernst genommen werden.<\/li>\n
- Sorgfalt bei Konfigurations\u00e4nderungen:<\/strong> \u00c4nderungen an der Konfiguration sollten w\u00e4hrend der Code-\u00dcberpr\u00fcfung mit derselben Sorgfalt wie der Quellcode selbst behandelt werden.<\/li>\n
- Hinterfragen komplexer Setup-Anforderungen:<\/strong> Ungew\u00f6hnliche Anforderungen an das Setup, die f\u00fcr den offensichtlichen Umfang eines Projekts \u00fcberm\u00e4\u00dfig komplex erscheinen, sollten kritisch hinterfragt werden.<\/li>\n<\/ul>\n
Weitere Informationen inklusive einer technischen Analyse der Schwachstellen finden sich im CPR Blog-Blogbeitrag Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files | CVE-2025-59536 | CVE-2026-21852<\/a> vom 25. Februar 2026.<\/p>\n","protected":false},"excerpt":{"rendered":"Sicherheitsforscher von Check Point Research haben kritische Schwachstellen (CVE-2025-59536, CVE-2026-21852) im Anthropic KI-basiertem Coding Tool \"Claude Code\" identifiziert. Diese erm\u00f6glichten die Ausf\u00fchrung von Remote-Code und den Diebstahl von API-Anmeldedaten. Kritisch wird dies, weil Angreifer integrierte Mechanismen wie Hooks, Model Context … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,426],"tags":[8382,4328],"class_list":["post-322017","post","type-post","status-publish","format-standard","hentry","category-ai","category-sicherheit","tag-ai","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322017"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322017\/revisions"}],"predecessor-version":[{"id":322022,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322017\/revisions\/322022"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsforscher von Check Point Research haben kritische Schwachstellen (CVE-2025-59536, CVE-2026-21852) im Anthropic KI-basiertem Coding Tool \"Claude Code\" identifiziert. Diese erm\u00f6glichten die Ausf\u00fchrung von Remote-Code und den Diebstahl von API-Anmeldedaten. Kritisch wird dies, weil Angreifer integrierte Mechanismen wie Hooks, Model Context Protocol (MCP)-Integrationen und Umgebungsvariablen missbrauchen konnten. Angreifer konnten beliebige Shell-Befehle ausf\u00fchren und API-Schl\u00fcssel exfiltrieren, wenn Entwickler nicht vertrauensw\u00fcrdige Projekte klonten und \u00f6ffneten. \u00dcber das Starten des Tools hinaus war daf\u00fcr kein weiteres Zutun durch den Nutzer erforderlich.<\/p>\n