Notebookcheck Logo

Fuga di codice Claude: I ricercatori trovano la prima vulnerabilità

Antropico
ⓘ Notebookcheck | Marc Herter
Antropico
Poco dopo una fuga accidentale di codice sorgente, è stata scoperta una vulnerabilità critica nell'agente di codifica AI chiamato Claude Code. Potenzialmente consente agli aggressori di aggirare le protezioni di sicurezza e di rubare dati sensibili agli sviluppatori.
AI Security Hack / Data Breach Server/Datacenter

Il 31 marzo, Anthropic, l'azienda che sta dietro l'AI Claude, ha accidentalmente messo online un'ampia porzione di codice dietro l'agente di codifica Claude Code. Da allora, Anthropic ha cercato di agire contro le copie di quel codice. Gli analisti hanno già trovato nel codice alcune informazioni potenzialmente scomode per Anthropic. Tra queste c'è il protocollo YOLO.

Sebbene la fuga di notizie non abbia interessato i pesi dei modelli, essa fornisce uno schema dettagliato del funzionamento dello strumento. Questo rende più facile per i potenziali aggressori identificare vulnerabilità mirate o creare copie molto convincenti del programma che potrebbero diffondere malware. In questo contesto, il team di Adversa AI ha scoperto un difetto di sicurezza critico nel sistema di autorizzazioni di Claude Code.

Claude Code è un assistente basato su terminale che lavora direttamente sulla linea di comando e può modificare i file ed eseguire i comandi della shell. Per mantenere la sicurezza, lo strumento utilizza un sistema di regole di autorizzazione. Gli utenti possono definire le cosiddette regole di negazione che bloccano rigorosamente alcuni comandi, come ad esempio il comando "curl", che viene utilizzato per trasferire dati in rete. Altri comandi, come "git" per il controllo di versione, possono invece essere esplicitamente consentiti.

La vulnerabilità scoperta risiede nella gestione di catene di comandi complesse. Per evitare problemi di prestazioni e blocchi dell'interfaccia utente, Anthropic limita la sua analisi di sicurezza dettagliata a un massimo di 50 sottocomandi. Se una catena di comandi è più lunga, i singoli controlli vengono saltati e viene mostrato all'utente un prompt generale che chiede se il comando deve essere eseguito.

Questo comportamento potrebbe essere sfruttato attraverso l'iniezione di prompt. In questo tipo di attacco, un aggressore manipola gli input dell'AI per aggirare i suoi filtri di sicurezza. In particolare, un aggressore potrebbe inserire un file manipolato denominato "CLAUDE.md" in un repository software pubblico. Questo file contiene le istruzioni per l'agente AI. Se uno sviluppatore clona il repository e chiede all'agente di rivedere il progetto, l'AI potrebbe essere istruita ad eseguire una catena di oltre 50 comandi apparentemente legittimi.

Ecco l'articolo completo basato sui suoi requisiti e sull'apertura da lei fornita.

Rischio di sicurezza nel Codice Claude: La perdita consente il furto di dati

Poco dopo una fuga accidentale di codice sorgente, è stata scoperta una vulnerabilità critica nell'agente di codifica AI Claude Code. Consente agli aggressori di aggirare le regole di sicurezza e di rubare dati sensibili come le chiavi SSH dalle macchine degli sviluppatori.

Il 31 marzo, Anthropic, l'azienda dietro l'AI Claude, ha accidentalmente messo online un'ampia porzione di codice dietro l'agente di codifica Claude Code. Il codice sorgente è diventato accessibile grazie alla pubblicazione accidentale di una cosiddetta mappa sorgente, un file che traduce il codice del programma compilato in una forma leggibile dall'uomo, su npm, un gestore di pacchetti per JavaScript. Di conseguenza, i ricercatori hanno potuto ricostruire il codice dell'agente AI. Il risultato ammonta a circa 512.000 righe di TypeScript, un linguaggio di programmazione costruito su JavaScript che aggiunge un'ulteriore tipizzazione.

Sebbene non siano stati esposti direttamente i pesi dei modelli o i dati dei clienti, la fuga di notizie fornisce una descrizione dettagliata del funzionamento dello strumento. Questo rende più facile per i potenziali aggressori identificare vulnerabilità mirate o creare copie molto convincenti del programma che potrebbero diffondere malware. In questo contesto, il team di Adversa AI ha scoperto una falla di sicurezza critica nel sistema di autorizzazioni di Claude Code.

Claude Code è un assistente basato su terminale che lavora direttamente sulla linea di comando e può modificare i file ed eseguire i comandi della shell. Per mantenere la sicurezza, lo strumento utilizza un sistema di regole di autorizzazione. Gli utenti possono definire le cosiddette regole di negazione che bloccano rigorosamente alcuni comandi, ad esempio il comando "curl", che viene utilizzato per trasferire dati in rete. Altri comandi, come "git" per il controllo di versione, possono invece essere esplicitamente consentiti.

La vulnerabilità scoperta risiede nella gestione di catene di comandi complesse. Per evitare problemi di prestazioni e blocchi dell'interfaccia utente, Anthropic limita la sua analisi di sicurezza dettagliata a un massimo di 50 sottocomandi. Se una catena di comandi è più lunga, i singoli controlli vengono saltati e viene mostrato all'utente un prompt generale che chiede se il comando deve essere eseguito.

Questo comportamento può essere sfruttato attraverso la cosiddetta prompt injection. In questo tipo di attacco, un aggressore manipola gli input dell'AI per aggirare i suoi filtri di sicurezza. In particolare, un aggressore potrebbe inserire un file manipolato denominato "CLAUDE.md" in un repository software pubblico. Questo file contiene le istruzioni per l'agente AI. Se uno sviluppatore clona il repository e chiede all'agente di costruire il progetto, l'IA potrebbe ricevere istruzioni per eseguire una catena di oltre 50 comandi apparentemente legittimi.

A partire dal 51° comando, le regole di rifiuto configurate individualmente non si applicano più. Mentre un singolo comando "curl" verrebbe bloccato, viene ignorato se inserito in una lunga catena. Ciò consente agli aggressori di inviare dati sensibili come chiavi SSH, chiavi crittografiche utilizzate per l'accesso remoto sicuro ai server o credenziali cloud dalla macchina locale dello sviluppatore a un server esterno in background. Poiché in questo caso il sistema richiede solo una conferma generale, l'utente non si accorge che le sue politiche di sicurezza sono state effettivamente scavalcate.

Particolarmente degno di nota è il fatto che il codice sorgente trapelato della versione 2.1.88 conteneva già una correzione per questo problema. Anthropic aveva sviluppato un parser più moderno, un programma utilizzato per analizzare le strutture di codice, che controlla correttamente le regole di negazione indipendentemente dalla lunghezza della catena di comando. Tuttavia, questo non è stato implementato nelle versioni pubbliche del programma. Invece, si è continuato ad utilizzare il vecchio meccanismo difettoso.

Anthropic sembra aver risolto il problema nel frattempo. Secondo il changelog di per la versione 2.1.90è stato risolto un problema descritto come degrado della regola di negazione del fallback del parse-fail. Tuttavia, secondo i ricercatori di che hanno identificato la potenziale vulnerabilità di sicurezza, esistono altri modi per risolvere il problema.

Please share our article, every link counts!
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 04 > Fuga di codice Claude: I ricercatori trovano la prima vulnerabilità
Marc Herter, 2026-04- 7 (Update: 2026-04- 7)