Уразливість Claude Code високого рівня небезпеки використана хакерами, зашифровані користувачі стали ціллю атак

Антропікова Claude Code викрила серйозну уразливість, що дозволяє підвищити привілеї та виконувати команди, зловмисники можуть виконувати будь-які команди без дозволу користувача. Ще більш тривожно, що цю уразливість вже використовують хакери для атак на криптоспільноту. За останніми новинами, дослідник безпеки команди SlowMist 23pds поширив звіт дослідника Adam Chester, номер уразливості CVE-2025-64755, відповідний PoC вже опубліковано.

Основна загроза уразливості

Що таке ця уразливість

Уразливість у Claude Code дозволяє зловмисникам підвищувати привілеї та виконувати команди, при цьому їм не потрібно отримувати жодних дозволів від користувача. Це означає, що навіть без натискання підозрілих посилань або введення команд, хакери можуть за допомогою спеціально спроектованих методів використовувати цю уразливість для керування вашою системою.

Чому ця уразливість становить більшу загрозу для криптоспільноти

Згідно з інформацією, Claude Code широко використовується серед крипто-розробників та трейдерів. Зі спільнотних обговорень видно, що багато хто пише арбітражні програми, торгових роботів та інший код, що пов’язаний з фінансовими операціями. Якщо зловмисники отримають доступ до командного виконання через цю уразливість, вони можуть:

• Вкрасти приватні ключі або мнемонічні фрази гаманців
• Змінити активний торговий код
• Перехопити API-ключі та облікові дані бірж
• Встановити шкідливе програмне забезпечення для постійного моніторингу

Погані прецеденти історичних уразливостей

За останніми даними, ця уразливість схожа на аналогічну, що була виявлена раніше у інструменті Cursor. Варто зазначити, що ця схожа уразливість у Cursor досі не була виправлена. Це означає, що:

• Подібні уразливості можуть існувати у кількох інструментах AI-кодування
• Час на виправлення може бути довшим за очікуваний
• Користувачі не можуть покладатися на швидку реакцію розробників

Реальні атаки вже почалися

23pds чітко зазначив, що вже є фішингові атаки з використанням цієї уразливості для атак криптоспільноти. Це не теоретичний ризик — це вже відбувається. Зловмисники можуть діяти через:

• Фішингові листи, що маскуються під офіційні повідомлення або технічну підтримку Claude Code
• Фальшиві інструкції або обміни кодом у соцмережах
• Звичайні фрагменти коду, що на перший погляд здаються безпечними, але містять шкідливий payload

Що вам потрібно зробити зараз

• Якщо ви використовуєте Claude Code для обробки фінансового коду (торгові роботи, управління гаманцями тощо), рекомендується тимчасово припинити використання до підтвердження виправлення від Anthropic
• Перевірте історію використання Claude Code на предмет підозрілих командних викликів
• Якщо ви вводили приватні ключі, API-ключі або інші чутливі дані у Claude Code, негайно змініть ці облікові дані
• Слідкуйте за офіційними повідомленнями безпеки Anthropic, щоб бути в курсі оновлень щодо виправлення уразливості
• Для вже згенерованого коду ретельно перевіряйте його у локальному середовищі перед запуском у продуктиві

Підсумки

Ця уразливість у Claude Code показує слабкі місця у безпеці AI-інструментів кодування. Для криптоспільноти ця загроза особливо серйозна, оскільки код безпосередньо пов’язаний із безпекою коштів. Головне зараз — не знижувати пильність і чекати офіційного виправлення від Anthropic. Тривалий час невиправлена уразливість Cursor нагадує нам, що користувачі не можуть повністю покладатися на інструменти — важливі власна обережність і дотримання операційних стандартів. Рекомендується перед повним виправленням цієї уразливості підвищити рівень перевірки коду, що генерується Claude Code і пов’язаний із фінансовими операціями.