Claude Code im Sicherheitscheck: Wie riskant sind die Entwickler-Berechtigungen?

Laut neuester Forschung und Erkenntnisse bei UpGuard wirft eine Untersuchung von GitHub-Daten Fragen zur Sicherheit von KI-gestützten Entwicklungstools auf. Die Analyse zeigt, dass Nutzer des Coding-Assistenten Claude Code diesem häufig umfangreiche Systemberechtigungen einräumen. Die Sicherheitsforscher haben untersucht, welche Risiken sich daraus bei gezielten Angriffen ergeben könnten.

Datengrundlage der Untersuchung

Für die Studie wurden 18.470 öffentlich zugängliche Konfigurationsdateien vom Typ .claude/settings.local.json aus GitHub-Repositories ausgewertet. Diese Dateien dokumentieren, welche Rechte Nutzer dem KI-Agenten für ihre Softwareprojekte zugestehen.

Üblicherweise landen solche lokalen Einstellungsdateien nicht in öffentlichen Code-Verzeichnissen. In den untersuchten Fällen verzichteten die Nutzer jedoch auf diese Ausnahme, vermutlich weil die Dateien keine Login-Daten enthalten.

Funktionsweise des Berechtigungssystems

Claude Code arbeitet als Kommandozeilen-Agent, der mit dem lokalen Dateisystem und Terminal des Nutzers interagiert. Die Konfigurationsdatei settings.local.json legt fest, welche Aktionen ohne Rückfrage ausgeführt werden dürfen, bei welchen Befehlen eine Bestätigung erforderlich ist und welche Operationen grundsätzlich untersagt sind.

Bei wiederkehrenden Aufgaben schlägt der Agent vor, entsprechende Freigaben dauerhaft zu speichern. Die Herausforderung: Die Regeln müssen flexibel genug für verschiedene Varianten einer Aktion sein, dürfen aber keine unnötigen Sicherheitsrisiken schaffen.

Identifizierte Schwachstellen

Zugriff auf Netzwerkressourcen

curl-Berechtigungen (21,3 %): Über 3.900 Nutzer erlauben dem Agenten die Verwendung von curl mit beliebigen Parametern. Dies ermöglicht sowohl das Herunterladen externer Skripte als auch das Übertragen lokaler Daten an entfernte Server.

Unbeschränkter Web-Zugriff (11,4 %): Mehr als 2.100 Entwickler nutzen Platzhalter oder allgemeine Domains wie github.com. Der Agent kann damit beliebige Webinhalte abrufen.

Ausführung von Programmcode

Python-Interpreter (14,5 %): Mehr als 2.600 Konfigurationen gestatten die uneingeschränkte Ausführung von Python-Skripten.

Node.js-Runtime (14,4 %): Eine ähnlich hohe Zahl erlaubt die Ausführung beliebiger JavaScript-Programme.

Shell-Zugriff (2,6 %): 482 Entwickler haben die Berechtigung bash:* vergeben, was die Erstellung von Subshells und die Ausführung jeglicher Systembefehle ermöglicht.

Versteckte Risiken in Standard-Tools

find-Kommando (29,0 %): Mit 5.357 Verwendungen die zweithäufigste Berechtigung. Das Flag -exec erlaubt die Ausführung beliebiger nachgelagerter Befehle.

Textverarbeitungs-Tools: Die Programme sed (8,2 %) und awk (5,1 %) sind vollständige Programmiersprachen, die Dateien schreiben und Systembefehle ausführen können.

Löschberechtigungen

In 22,2 Prozent der analysierten Dateien (4.101 Fälle) fand sich die Freigabe rm:*. Diese erlaubt das dauerhafte Löschen von Dateien und Verzeichnissen ohne weitere Bestätigung. In Kombination mit dem find-Befehl könnten theoretisch komplette Projektstrukturen entfernt werden.

Supply-Chain-Risiken

Die Analyse zeigt relevante Berechtigungen für Git-Operationen: git push ohne Einschränkungen in 19,7 % der Dateien, git commit in 24,5 % und git add in 32,6 % der Konfigurationen.

Diese Kombination würde einem kompromittierten Agenten ermöglichen, Code zu modifizieren, zu committen und in Remote-Repositories zu übertragen – ohne menschliche Prüfung. Da sich die Berechtigungen nicht auf einzelne Projekte beschränken, könnten auch Unternehmens- oder Open-Source-Repositories betroffen sein.

Handlungsempfehlungen für Entwickler

Aktive Nutzung von Deny- und Ask-Regeln

Nur 1,1 Prozent der untersuchten Dateien enthielten deny-Regeln, obwohl diese Option standardmäßig verfügbar ist. Die explizite Definition verbotener Befehle bietet einen wirksamen Schutz gegen unerwünschte Aktionen.

Periodische Berechtigungsprüfung

Einmal erteilte Freigaben bleiben dauerhaft aktiv. Eine regelmäßige Überprüfung hilft, übermäßig weitreichende Zugriffsrechte zu identifizieren und anzupassen.

Minimalprinzip bei Freigaben

Statt generelle Platzhalter zu verwenden, sollten Berechtigungen so spezifisch wie möglich formuliert werden. Beispielsweise lässt sich der Web-Zugriff auf konkrete, vertrauenswürdige Domains beschränken.

Fazit

Die Datenauswertung zeigt eine deutliche Diskrepanz zwischen den technischen Möglichkeiten des Berechtigungssystems und dessen tatsächlicher Nutzung. Während Claude Code Mechanismen für granulare Zugriffskontrollen bereitstellt, greifen viele Anwender zu weitreichenden Freigaben, um Bestätigungsdialoge zu vermeiden.

Die häufige Erlaubnis für Python, Node.js, curl und rm legt nahe, dass Nutzer den KI-Agenten als direkte Erweiterung ihrer eigenen Arbeit verstehen – weniger als teilautonomes System mit eigenem Risikoprofil. Die Geschwindigkeit KI-gestützter Entwicklungswerkzeuge bietet Vorteile, deren sichere Nutzung erfordert jedoch die konsequente Anwendung restriktiver Berechtigungsmodelle.

Entdecke mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html