Claude Code: Kritische Lücke ermöglicht Malware-Einschleusung
29.06.2026 - 14:57:26 | boerse-global.de
Angreifer können darüber Schadsoftware auf Entwicklerrechner schleusen – und das über scheinbar harmlose GitHub-Repositories.
Versteckte Befehle im DNS-Server
Das Problem liegt in der Art, wie Claude Code Setup-Skripte innerhalb eines Repositories verarbeitet. Die Forscher demonstrierten einen Angriff, bei dem ein Setup-Skript einen Befehl aus einem DNS-Eintrag lädt – und zwar erst zur Laufzeit. Da der schädliche Code nicht direkt im Repository steht, bleibt er für herkömmliche Sicherheitsscanner unsichtbar.
Startet ein Entwickler Claude Code mit dem manipulierten Repository, führt der KI-Agent das Skript automatisch aus. Die Folge: Eine sogenannte Reverse Shell wird geöffnet, die einem externen Angreifer die vollständige Kontrolle über die Entwicklungsumgebung gibt. Sicherheitsexperten warnen, dass damit sensible Daten wie API-Schlüssel und Zugangsdaten abfließen können.
Fehlende Sicherheitsmechanismen
Die Manipulation von KI-Workflows zeigt, wie schnell neue technologische Möglichkeiten zu Sicherheitsrisiken führen können. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer durch neue KI-Gesetze und Cyberrisiken jetzt kennen müssen. Gratis-Report zu KI-Gesetzen und Cyberrisiken herunterladen
Das 0din-Team betont, dass aktuelle KI-Agent-Workflows oft nicht die nötigen Sicherheitsvorkehrungen bieten. Die Forscher empfehlen, KI-Agenten so zu aktualisieren, dass sie den vollständigen Inhalt von Setup-Skripten anzeigen und erst nach manueller Freigabe durch den Nutzer ausführen. Ohne diese menschliche Kontrollinstanz bleiben autonome Agenten anfällig für Angriffe, die die statische Code-Analyse umgehen.
Konkurrenz aus China macht Druck
Die Sicherheitslücke kommt zu einem Zeitpunkt, da Claude Code international unter Druck gerät. Aktuelle Tests des Unternehmens Semgrep verglichen das Tool mit dem chinesischen Modell GLM-5.2 von Zhipu AI. Bei der Erkennung von IDOR-Sicherheitslücken (Insecure Direct Object Reference) erreichte das chinesische Open-Weight-Modell einen F1-Score von 39 Prozent – Claude Code kam nur auf 32 Prozent. Hinzu kommt: GLM-5.2 kostet nur etwa ein Sechstel des Preises von Anthropics Tool.
Eine Serie von Sicherheitsvorfällen
Die aktuelle Schwachstelle reiht sich in eine Kette von Sicherheitsproblemen rund um das Claude-Ökosystem ein. Bereits im März 2026 wurde der Quellcode von Claude Code als npm-Paket geleakt. Im Mai folgte ein schwerwiegender interner Vorfall bei GitHub, bei dem rund 3.800 Repositories betroffen waren – zeitgleich tauchte das Schadsoftware-Framework Shai-Hulud auf.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen, die oft über unterschätzte Sicherheitslücken in der Software-Infrastruktur erfolgen. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihr Unternehmen proaktiv absichern, bevor es zu spät ist. IT-Sicherheit stärken und Unternehmen schützen
Forensische Untersuchungen zeigen zudem, dass KI-Tools zunehmend für offensive Operationen genutzt werden. Zwischen Dezember 2025 und Februar 2026 setzte ein unbekannter Angreifer kommerzielle KI-Modelle wie Claude und GPT ein, um eine Wasseraufbereitungsanlage im mexikanischen Monterrey auszukundschaften. Claude generierte damals ein massives Python-Skript für die autonome Aufklärung. Zwar gelang kein Eindringen in die operative Technologie, der Vorfall zeigt jedoch das wachsende Gefahrenpotenzial.
