Claude Code --dangerously-skip-permissions-Schwachstelle und Open-Source-Verteidigungstool

Sicherheitslücke in Claude Code mit --dangerously-skip-permissions

Bei der Verwendung von Claude Code mit dem Flag --dangerously-skip-permissions besteht eine dokumentierte indirekte Prompt-Injection-Schwachstelle. Das Kernproblem: Claude verarbeitet nicht vertrauenswürdige Inhalte mit vertrauenswürdigen Berechtigungen und kann nicht zuverlässig zwischen Ihren Anweisungen und bösartigen Anweisungen unterscheiden, die in diesen Inhalten eingebettet sind.

Von Lasso Security dokumentierte Angriffsvektoren

• Versteckte Anweisungen in README-Dateien oder Code-Kommentaren geklonter Repositorys
• Bösartige Inhalte auf Webseiten, die Claude für Recherchen abruft
• Bearbeitete Seiten, die über MCP-Connectors kommen (Notion, GitHub, Slack usw.)
• Kodierte Payloads in Base64, Homoglyphen, Zero-Width-Zeichen

Das Flag entfernt die menschliche Kontrollinstanz, die normalerweise verdächtige Aktivitäten erkennen würde, und schafft so eine erhebliche Angriffsfläche, wenn Claude Dateien liest, Seiten abruft oder Ausgaben von MCP-Servern erhält.

Open-Source-Abwehrtool

Lasso Security hat einen PostToolUse-Hook veröffentlicht, der Werkzeugausgaben anhand von über 50 Erkennungsmustern scannt, bevor Claude sie verarbeitet. Das Tool warnt anstatt sofort zu blockieren, um Fehlalarme zu vermeiden und den Kontext zu erhalten. Die Einrichtung dauert etwa 5 Minuten und funktioniert sowohl mit Python als auch mit TypeScript.

Das Tool ist auf GitHub als claude-hooks verfügbar und wird in Lasso's Blogbeitrag über die Schwachstelle detailliert beschrieben.