Check Point Research ha rivelato vulnerabilità critiche in Claude Code, lo strumento di codifica assistita sviluppato da Anthropic, evidenziando un cambiamento sostanziale nel modello di minaccia legato alla supply chain AI. Le falle, identificate come CVE-2025-59536 e CVE-2026-21852, permettono rispettivamente l’esecuzione remota di codice e il furto di chiavi API attraverso file di configurazione repository malevoli. Il punto centrale della scoperta non riguarda un semplice bug, ma un problema strutturale: configurazioni trattate come metadati passivi si comportano, di fatto, come layer di esecuzione attivi. In un contesto collaborativo, basta clonare e aprire un progetto non fidato per attivare meccanismi nascosti capaci di aggirare controlli di fiducia.
CVE-2025-59536: bypass del consenso utente tramite MCP
La prima vulnerabilità, CVE-2025-59536, coinvolge il meccanismo MCP e consente il bypass del consenso utente. In pratica, impostazioni controllate dal repository possono sovrascrivere salvaguardie integrate, inizializzando tool esterni senza approvazione esplicita. Claude Code integra funzionalità come Hooks e integrazioni MCP per potenziare l’esperienza di sviluppo AI-driven. Tuttavia, questi meccanismi, se manipolati all’interno di un repository malevolo, possono eseguire comandi shell in background prima che l’utente confermi la fiducia nel progetto. Check Point ha dimostrato che tali configurazioni non si limitano a descrivere comportamenti, ma li attivano direttamente. Questo confonde i confini tra configurazione e codice eseguibile, creando un vettore di attacco silenzioso.
CVE-2026-21852: furto di chiavi API tramite reindirizzamento traffico
La seconda vulnerabilità, CVE-2026-21852, consente il furto di chiavi API reindirizzando traffico autenticato verso server controllati dagli attaccanti. Attraverso la manipolazione di variabili ambiente e configurazioni repository, il traffico API viene intercettato prima della conferma di fiducia. Gli attaccanti riescono così a catturare header di autorizzazione e credenziali sensibili. Il problema si manifesta in fase precoce, quando Claude Code non ha ancora bloccato le comunicazioni verso endpoint esterni. Il risultato è l’esposizione di chiavi API in ambienti collaborativi, con potenziale accesso a workspace condivisi, modifica o cancellazione file e abuso di risorse cloud enterprise.
Come funziona l’attacco: configurazioni come vettori attivi
Secondo l’analisi di Check Point, l’attacco si attiva con un’azione apparentemente innocua: clonare un repository e aprirlo in Claude Code. I file di configurazione integrano Hooks che eseguono comandi shell nascosti, mentre le integrazioni MCP inizializzano tool esterni bypassando i prompt di consenso. Le variabili ambiente possono essere manipolate per reindirizzare traffico API autenticato verso server remoti. In questo scenario, l’utente conferma la fiducia solo dopo che le chiavi sono già state trasmesse. Il modello di minaccia cambia radicalmente: non è più necessario inserire codice malevolo evidente. Basta alterare file di configurazione standard, che l’ambiente AI interpreta come istruzioni operative.
Impatto su utenti e organizzazioni
Le vulnerabilità colpiscono in modo particolare ambienti collaborativi. Un singolo sviluppatore che apre un repository infetto può esporre chiavi condivise e compromettere progetti enterprise-wide. L’esecuzione silenziosa di comandi permette l’installazione di malware persistente sulle macchine degli sviluppatori. Il furto di API key consente accesso remoto a workspace, modifica di file critici e generazione di costi non autorizzati. Check Point ha classificato l’impatto in diverse categorie: compromissione endpoint individuale, bypass dei controlli MCP nei workflow e furto di credenziali con potenziale escalation organizzativa. In contesti enterprise, dove Claude Code viene utilizzato per accelerare sviluppo e collaborazione, la confusione dei confini di fiducia può amplificare il danno.
La risposta di Anthropic e la divulgazione responsabile
Check Point ha collaborato con Anthropic nell’ambito di una divulgazione responsabile. L’azienda ha implementato fix mirati a rafforzare i prompt di fiducia utente e a prevenire esecuzioni prima di approvazioni esplicite. Per mitigare CVE-2025-59536, Claude Code ora blocca l’inizializzazione di tool esterni finché l’utente non concede consenso chiaro. Per CVE-2026-21852, le comunicazioni API vengono interrotte fino alla conferma di fiducia, impedendo la trasmissione precoce di header di autorizzazione. Anthropic ha aggiornato il threat model interno, introducendo barriere aggiuntive tra configurazione e codice eseguibile. Check Point ha verificato l’efficacia delle patch, sottolineando la tempestività della risposta.
Un nuovo paradigma per la supply chain AI
La ricerca evidenzia un punto critico: negli strumenti AI-driven, i file di configurazione non sono più semplici metadati. Possono diventare canali di esecuzione attiva, ridefinendo la superficie d’attacco. La supply chain AI introduce livelli di automazione che, se non isolati correttamente, trasformano workflow legittimi in vettori di compromissione. Il caso Claude Code dimostra che l’integrazione profonda tra AI e ambiente di sviluppo richiede controlli di fiducia più granulari.
Raccomandazioni operative per sviluppatori e organizzazioni
Check Point raccomanda di trattare file di configurazione come potenziali layer di esecuzione. Le organizzazioni dovrebbero aggiornare il proprio threat model includendo strumenti AI tra gli asset critici. È fondamentale verificare repository prima dell’apertura, limitare la condivisione di chiavi API e monitorare traffico anomalo nei workflow AI-driven. Audit regolari, controllo delle variabili ambiente e revisione delle integrazioni MCP diventano misure essenziali. L’adozione delle versioni aggiornate di Claude Code con le patch implementate da Anthropic è un passaggio obbligato per ridurre il rischio. Le vulnerabilità scoperte da Check Point in Claude Code non rappresentano un incidente isolato, ma un segnale di maturazione del panorama di minaccia AI. L’automazione avanzata e l’integrazione profonda nei workflow di sviluppo amplificano benefici e rischi. Il caso dimostra che la sicurezza degli strumenti AI deve essere progettata con la stessa attenzione dedicata ai sistemi di produzione. In un ecosistema dove configurazione e codice si intrecciano, il confine di fiducia deve essere esplicitato, verificato e rafforzato costantemente.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
