Phát hiện 3 lỗ hổng trong Claude Code có thể dẫn tới thực thi mã từ xa và đánh cắp khóa API (đã vá xong)

Check Point Research đã công bố việc phát hiện 3 lỗ hổng bảo mật trong Claude Code của Anthropic. Cả ba đều có cấu trúc cho phép tấn công chỉ bằng cách clone hoặc mở một kho lưu trữ không đáng tin cậy.

3 lỗ hổng

1.	Không có CVE (CVSS 8.7) — Tiêm mã thông qua hook dự án trong `.claude/settings.json`. Có thể thực thi mã tùy ý mà không cần sự đồng ý của người dùng. Đã được vá trong v1.0.87 vào tháng 9/2025.  
2.	CVE-2025-59536 (CVSS 8.7) — Có thể tự động chạy lệnh shell khi khởi tạo máy chủ MCP bằng cách đặt tùy chọn `enableAllProjectMcpServers` trong `.mcp.json` thành `true`. Đã được vá trong v1.0.111 vào tháng 10/2025.  
3.	CVE-2026-21852 (CVSS 5.3) — Ghi đè biến môi trường `ANTHROPIC_BASE_URL` sang máy chủ của kẻ tấn công để gửi yêu cầu API trước lời nhắc xác nhận độ tin cậy, từ đó có thể đánh cắp khóa API. Đã được vá trong v2.0.65 vào tháng 1/2026.  

Mối đe dọa chính

Chỉ cần mở một kho lưu trữ độc hại, khóa API của nhà phát triển có thể bị rò rỉ và lưu lượng API đã xác thực có thể bị chuyển hướng tới máy chủ bên ngoài. Điều này có thể dẫn đến truy cập vào các tệp dự án được chia sẻ, chỉnh sửa dữ liệu đám mây và phát sinh chi phí API ngoài dự kiến.

Check Point cảnh báo rằng “khi các công cụ AI ngày càng tự động thực hiện lệnh, khởi tạo tích hợp bên ngoài và giao tiếp mạng, bản thân các tệp cấu hình đã trở thành một phần của lớp thực thi”, và giờ đây không chỉ mã nguồn mà ngay cả hành vi mở kho lưu trữ cũng có thể trở thành điểm khởi đầu của mối đe dọa chuỗi cung ứng.
Cả ba lỗ hổng hiện đều đã được vá.