- Check Point menemukan tiga kerentanan dalam asisten pengkodean AI Claude Code
- Cacat memungkinkan pencurian kunci RCE dan API
- Masalah yang dieksploitasi melalui repositori berbahaya; semua ditambal sebelum diungkapkan
Jika Anda ingin mengintegrasikan secara mendalam alat AI dalam alur kerja Anda, berhati-hatilah, karena beberapa model AI populer memiliki kerentanan parah yang dapat mengubah asisten digital tepercaya menjadi orang dalam yang jahat.
Peneliti dari Check Point (CPR) punya terperinci tiga kerentanan dalam Claude Code yang dapat digunakan untuk mengeksekusi kode berbahaya (RCE) dari jarak jauh, atau mencuri data sensitif seperti kredensial API, dari korban yang tidak menaruh curiga.
Dari tiga kelemahan tersebut, dua telah diberi label: CVE-2025-59536 (8.7/10), dan CVE-2026-21852 (5.3/10). Yang ketiga yang belum ditetapkan CVE adalah kerentanan injeksi kode.
Menilai kembali asumsi keamanan tradisional
Claude Code adalah asisten pengkodean canggih yang didukung AI yang memungkinkan pengembang bekerja dengan AI langsung di dalam lingkungan pengkodean mereka (seperti terminal atau IDE). Asisten dapat melakukan segala macam hal, termasuk menjalankan tugas di seluruh basis kode, semuanya berdasarkan instruksi bahasa alami.
CPR mengatakan penyerang dapat membuat repositori berbahaya yang berisi file konfigurasi tingkat proyek yang dibuat khusus, dan membaginya dengan pengembang (misalnya, melalui email phishing, atau penugasan pekerjaan palsu).
Jika pengembang mengkloning repositori ke mesin lokal mereka, dan membuka direktori proyek di Claude Code, alat tersebut akan memuatnya secara otomatis, memungkinkan penyerang menyalahgunakan mekanisme bawaan dan memicu perintah shell tersembunyi. Akibatnya, perintah izin pengguna diganti, dan alat serta layanan eksternal diinisialisasi sebelum diberikan persetujuan eksplisit.
Sederhananya, penyerang dapat diberikan kemampuan eksekusi kode jarak jauh atau dapat mengekstraksi kunci API Anthropic sebelum pengguna mengonfirmasi kepercayaan pada proyek tersebut.
“Alat pengkodean yang didukung AI dengan cepat menjadi bagian dari alur kerja pengembangan perusahaan. Manfaat produktivitasnya sangat signifikan, namun demikian juga kebutuhan untuk menilai kembali asumsi keamanan tradisional,” kata CPR.
“File konfigurasi tidak lagi menjadi pengaturan pasif. File konfigurasi dapat memengaruhi eksekusi, jaringan, dan izin. Seiring semakin mendalamnya integrasi AI, kontrol keamanan harus berevolusi agar sesuai dengan batasan kepercayaan yang baru.”
Untungnya, CPR mengatakan semua masalah telah diselesaikan sebelum diungkapkan kepada publik.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
