В инструменте Claude Code, который Anthropic продвигает как помощника для разработки, исследователи обнаружили новую уязвимость в механизме ограничений. По данным Adversa AI, проблема связана с deny-правилами — это правила жёсткого запрета, которые должны блокировать опасные команды. Исследователи утверждают, что если команда содержит более 50 подкоманд, Claude Code может перестать применять эти запреты без явного предупреждения пользователю.
Речь сбое именно в логике контроля команд. Claude Code умеет выполнять shell-команды на машине разработчика, а его система разрешений строится на трёх типах правил: allow — разрешить автоматически, ask — запросить подтверждение, deny — запретить. Это подтверждает официальная документация Claude Code, где deny-правила описаны как приоритетный барьер: если правило совпало, действие должно быть заблокировано. Но длинная составная команда может привести к тому, что deny-правила фактически перестанут работать. Это открывает путь к атакам через вредоносные инструкции, внедрённые в запрос, код или рабочее окружение.
За несколько дней до публикаций об этой проблеме Anthropic по ошибке выложила часть исходного кода Claude Code. По данным SecurityWeek, в результате ошибки в релизном пакете наружу ушли около 512 тысяч строк TypeScript-кода в примерно 1900 файлах.
Ранее обнаружили ещё одну уязвимость Claude Code — в GitHub Advisory зафиксирована CVE-2025-59041: до версии 1.0.105 инструмент мог выполнить произвольную команду из-за небезопасной подстановки значения git config user.email ещё до подтверждения доверия к рабочему каталогу. Эта ошибка уже была официально описана и исправлена.
До появления официального исправления или детального ответа со стороны Anthropic разумная стратегия для компаний проста: не считать deny-правила единственным уровнем защиты, ограничивать сетевой и файловый доступ агента, использовать изолированные окружения и с подозрением относиться к длинным составным shell-командам, которые Claude Code собирается выполнить автоматически. Это следует из описанного механизма сбоя и из официальной архитектуры продукта, где агент работает с реальными инструментами разработчика.
В Claude Code реализована система разрешений, позволяющая пользователям настраивать правила запрета, разрешения (автоматическое одобрение определенных команд) и запроса (постоянный запрос подтверждения). Например, разработчик может настроить следующее:
{ “deny”: [“Bash(curl:*)”, “Bash(wget:*)”], “allow”: [“Bash(npm:*)”, “Bash(git:*)”] }
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
