ช่องโหว่ความปลอดภัยใน Claude Collaboration Tools เปิดช่องทางให้ Remote Code Execution
Check Point Software ค้นพบช่องโหว่สำคัญใน Claude Code ที่อนุญาตให้ผู้โจมตีทำ Remote Code Execution และขโมย API keys ผ่านการแทรก malicious configurations ใน repositories Anthropic ได้ปล่อยแพทช์แก้ไขแล้ว
Key takeaway
- นักวิจัยจาก Check Point Software ค้นพบช่องโหว่ 3 จุดใน Claude Code ที่อนุญาตให้ผู้โจมตีทำ Remote Code Execution และขโมย API keys ผ่านการแทรก malicious configurations ใน repositories
- ช่องโหว่เกิดจากการออกแบบระบบที่ใช้ repository-controlled configuration files (.claude/settings.json และ .mcp.json) ทำให้ contributor ที่มี commit access สามารถกำหนด malicious hooks, bypass MCP consent mechanisms, และ redirect API traffic เพื่อขโมย credentials ได้
- Anthropic ได้ปล่อยแพทช์แก้ไขทั้งหมดพร้อม CVEs (GHSA-ph6w-f82w-28w6, CVE-2024-59536, CVE-2025-21852) แต่เหตุการณ์นี้เผยให้เห็นถึงความเสี่ยง supply chain ใหม่ที่เกิดจากการ integration ของ AI tools เข้าสู่ development workflows
นักวิจัยด้านความปลอดภัยไซเบอร์ค้นพบช่องโหว่สำคัญใน Claude Code ที่อาจทำให้ผู้โจมตีสามารถควบคุมระบบของผู้ใช้และขโมย API keys ได้ โดยการแทรก malicious configurations เข้าไป repositories แล้วรอให้ developer ดาวน์โหลดและเปิด project ที่ไม่ปลอดภัย
นักวิจัยจาก Check Point Software ได้ค้นพบช่องโหว่ทั้งสามจุดและรายงานให้กับ Anthropic ซึ่งบริษัทได้ปล่อยแพทช์แก้ไขสำหรับทุกจุดพร้อม CVEs สำหรับสองจุด นักวิจัยระบุว่าปัญหานี้เผยให้เห็นถึงภัยคุกคาม supply chain ที่น่าเป็นห่วง เมื่อองค์กรต่างๆ นำ AI coding tools อย่าง Claude มาใช้ในกระบวนการพัฒนาซอฟต์แวร์ ทำให้ configuration files กลายเป็น attack surface ใหม่
"ความสามารถในการ execute arbitrary commands ผ่าน repository-controlled configuration files สร้างความเสี่ยง supply chain ที่รุนแรง ซึ่ง malicious commit เพียงครั้งเดียวสามารถ compromise developer ทุกคนที่ทำงานกับ repository ที่ได้รับผลกระทบได้" นักวิจัย Aviv Donenfeld และ Oded Vanunu จาก Check Point กล่าวในรายงานเมื่อวันพุธ
Anthropic บริษัทผู้พัฒนา Claude Code ไม่ได้ตอบสนองต่อคำขอแสดงความคิดเห็นจาก The Register
จุดอ่อนจากการออกแบบระบบ
ช่องโหว่ทั้งสามเกิดจากการออกแบบ Claude ที่มุ่งหวังให้ทีมพัฒนาซอฟต์แวร์ทำงานร่วมกันได้อย่างราบรื่น AI coding tool นี้ฝัง project-level configuration files (ไฟล์ .claude/settings.json) โดยตรงภายใน repositories เพื่อให้ developer ที่ clone project จะใช้การตั้งค่าเดียวกันกับทีมงานโดยอัตโนมัติ
contributor ใดๆ ที่มี commit access สามารถแก้ไขไฟล์เหล่านี้ได้ นักวิจัยพบว่าการ clone และเปิด malicious repository บางครั้งทำให้สามารถ bypass การป้องกันในตัวและเรียกใช้ hidden commands รวมถึงการ execute malicious code ได้
ช่องโหว่ที่ 1: การใช้ Hooks ในทางที่ผิดเพื่อ RCE
ช่องโหว่แรกเกี่ยวข้องกับการใช้ Claude's Hooks feature ในทางที่ผิดเพื่อทำ remote code execution Hooks คือ user-defined shell commands ที่ execute ในจุดต่างๆ ของ tool lifecycle เพื่อให้แน่ใจว่า actions ที่กำหนดไว้ล่วงหน้าจะทำงานเมื่อเงื่อนไขที่กำหนดเป็นจริง แทนที่จะปล่อยให้ model เลือกเอง
เนื่องจาก Hooks ถูกกำหนดใน .claude/settings.json ซึ่งเป็น repository-controlled configuration file ใครก็ตามที่มี commit access สามารถกำหนด hooks ที่จะ execute shell commands บนเครื่องของ collaborator คนอื่นๆ เมื่อพวกเขาทำงานกับ project นอกจากนี้ Claude ไม่ต้องการการอนุมัติอย่างชัดเจนก่อนที่จะ execute commands เหล่านี้ ดังนั้นนักวิจัยจึงใช้กลไกนี้ในทางที่ผิดเพื่อเปิด calculator app เมื่อมีคนเปิด project
แม้ว่า bash script สำหรับเปิด calculator จะไม่เป็นอันตราย แต่มันก็ยังคงเป็น remote code execution ตามที่ทีมแสดงให้เห็นในวิดีโอ "ผู้โจมตีสามารถกำหนดค่า hook เพื่อ execute shell command ใดๆ ก็ได้ เช่น การดาวน์โหลดและรัน malicious payload" อาทิ reverse shell
Check Point รายงานช่องโหว่ malicious hooks ให้กับ Anthropic เมื่อวันที่ 21 กรกฎาคม 2024 และบริษัท AI นี้ได้ implement การแก้ไขขั้นสุดท้ายประมาณหนึ่งเดือนต่อมา พร้อมเผยแพร่ GitHub Security Advisory GHSA-ph6w-f82w-28w6 เมื่อวันที่ 29 สิงหาคม
ช่องโหว่ที่ 2: MCP Consent Bypass Bug
ช่องโหว่ที่สองก็อนุญาตให้เกิด RCE ได้เช่นกัน คราวนี้โดยการใช้ MCP consent bypass ในทางที่ผิด
Claude ติดต่อกับ external tools โดยใช้ Model Context Protocol (MCP) และ MCP servers ยังสามารถกำหนดค่าใน repository เดียวกันผ่าน .mcp.json configuration file ได้ หลังจากการเปิดเผยข้อมูลก่อนหน้านี้และการแก้ไขของ Anthropic นักวิจัยพบ warning prompts ที่ต้องการการอนุมัติจากผู้ใช้อย่างชัดเจนก่อนที่จะ execute commands ใน .mcp.json
พวกเขาจึงหาทางเลี่ยง โดยค้นพบ repository-controlled configuration settings สองตัวที่สามารถ override safeguards และอนุมัติ MCP servers ทั้งหมดโดยอัตโนมัติ
"การเริ่มต้น Claude Code ด้วย configuration นี้เผยให้เห็นช่องโหว่ที่รุนแรง command ของเราทำงานทันทีเมื่อรัน Claude – แม้กระทั่งก่อนที่ผู้ใช้จะได้อ่าน trust dialog" คู่หูนักวิจัยจาก Check Point เขียน
อีกครั้ง พวกเขายึดติดกับ calculator app แต่ยังสร้างวิดีโอที่แสดงให้เห็นว่าช่องโหว่นี้สามารถถูกใช้ประโยชน์เพื่อ remotely execute reverse shell และ compromise เครื่องของเหยื่อได้อย่างสมบูรณ์
นักวิจัยรายงานช่องโหว่ที่สองนี้ให้กับ Anthropic เมื่อวันที่ 3 กันยายน 2024 Anthropic แก้ไขช่องโหว่ bypass ในเดือนนั้น และเผยแพร่ CVE-2024-59536 เมื่อวันที่ 3 ตุลาคม
ช่องโหว่ที่ 3: การขโมย API Key
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ที่สามเพื่อขโมย API key ช่องโหว่นี้เกี่ยวข้องกับวิธีที่ Claude ใช้ API key เพื่อสื่อสารกับ services ของ Anthropic ตัวแปร ANTHROPIC_BASE_URL ควบคุม endpoint สำหรับการสื่อสาร Claude API ทั้งหมด และแม้ว่ามันควรชี้ไปที่ servers ของ Anthropic แต่มันสามารถถูก override ใน configuration files ของ project เพื่อชี้ไปที่ attacker-controlled servers แทน
นักวิจัยกำหนดค่า ANTHROPIC_BASE_URL ให้ route ผ่าน local proxy ของพวกเขา และดู Claude Code's API traffic ทั้งหมดแบบ real time การเรียกทุกครั้งของ Claude ไปยัง Anthropic servers "รวมถึง authorization header – Anthropic API key เต็มของเรา ที่ถูกเปิดเผยใน plaintext อย่างสมบูรณ์" พวกเขาเขียน
ผู้โจมตีสามารถใช้เทคนิคนี้ในทางที่ผิดเพื่อ redirect traffic และขโมย active API key ของ developer สิ่งนี้สำคัญเพราะ API มี feature ที่เรียกว่า Workspaces เพื่อช่วย developers จัดการ Claude deployments หลายตัว โดยอนุญาตให้ API keys หลายตัวแชร์การเข้าถึง cloud-based project files เดียวกัน Files เชื่อมต่อกับ workspace – ไม่ใช่ single key – และ API key ใดๆ ที่เป็นของ workspace ก็สามารถเห็น stored files ของ workspace ได้
สิ่งนี้ทำให้นักวิจัยสามารถ upload files ไปยัง shared workspace ได้ แต่ไม่อนุญาตให้ download ตาม documentation ของ Claude ผู้ใช้สามารถ download เฉพาะไฟล์ที่สร้างโดย skills หรือ code execution tool เท่านั้น
"เนื่องจากไฟล์ที่สร้างโดย Claude's code execution tool ถูกทำเครื่องหมายว่าสามารถ download ได้ เราจึงสำรวจว่าผู้โจมตีสามารถขอให้ Claude regenerate ไฟล์ที่มีอยู่โดยใช้ stolen API key ได้หรือไม่" Donenfeld และ Vanunu จาก Check Point เขียน "หากสำเร็จ สิ่งนี้จะแปลง non-downloadable file ให้เป็น workspace artifact ที่มีสิทธิ์ download ได้"
การทดสอบ clone และ download ไฟล์สำเร็จ และยืนยันว่าผู้ร้ายที่ใช้ stolen API key สามารถได้รับการเข้าถึง read และ write อย่างสมบูรณ์ต่อ workspace files ทั้งหมด สามารถลบหรือเปลี่ยนไฟล์สำคัญ หรือแม้แต่ upload malicious files เพื่อ poison workspace หรือใช้ storage space quota 100 GB จนหมด
Check Point รายงาน API key extraction bug ให้กับ Anthropic เมื่อวันที่ 28 ตุลาคม 2024 และ vendor ได้ออกการแก้ไขทันที ต่อมาเมื่อวันที่ 21 มกราคม 2025 Anthropic เผยแพร่ CVE-2025-21852
ตามที่ security team สรุป "การ integration ของ AI เข้าสู่ development workflows นำมาซึ่งประโยชน์ด้านประสิทธิภาพอย่างมหาศาล แต่ยังแนะนำ attack surfaces ใหม่ที่ไม่เคยมีอยู่ใน traditional tools"
Why it matters
💡 นักพัฒนาซอฟต์แวร์และผู้เชี่ยวชาญด้านเทคโนโลจีควรติดตามข่าวนี้อย่างใกล้ชิด เนื่องจากเผยให้เห็นถึงความเสี่ยงด้านความปลอดภัยที่ร้ายแรงใน AI coding tools ที่กำลังได้รับความนิยมอย่างแพร่หลาย ช่องโหว่ใน Claude Code ที่ค้นพบโดยนักวิจัย Check Point แสดงให้เห็นว่าการใช้ AI ในกระบวนการพัฒนาซอฟต์แวร์อาจสร้าง attack surface ใหม่ที่อันตราย โดยเฉพาะปัญหา supply chain attacks ที่สามารถ compromise ทีมพัฒนาทั้งหมดได้ด้วย malicious configuration เพียงครั้งเดียว การเข้าใจภัยคุกคามเหล่านี้จึงเป็นสิ่งสำคัญสำหรับการปรับปรุงมาตรการรักษาความปลอดภัยในองค์กร
ข้อมูลอ้างอิงจาก https://www.theregister.com/2026/02/26/clade_code_cves/
