Une étude récente publiée le 25 février 2026 par les équipes de Check Point a révélé trois vulnérabilités critiques affectant Claude Code, l'assistant de programmation IA développé par Anthropic. Ces failles exploitent la gestion des fichiers de configuration du projet par l'agent.
Ce qu'il faut retenir
- Check Point a identifié trois vulnérabilités critiques dans Claude Code
- Les failles permettaient une exécution de code à distance et un vol potentiel de clés API
- Anthropic a collaboré avec Check Point pour corriger les vulnérabilités avant la publication du rapport
Des failles mettant en péril la sécurité de Claude Code
Les chercheurs de Check Point ont mis en lumière trois vulnérabilités majeures affectant Claude Code, l'assistant de programmation IA d'Anthropic. Ces failles, exploitées via les fichiers de configuration du projet, ont soulevé des inquiétudes quant à la sécurité de l'outil.
Des vulnérabilités critiques identifiées
Les failles découvertes, référencées sous les identifiants CVE-2025-59536 et CVE-2026-21852, permettaient notamment une exécution de code à distance. La première vulnérabilité exploitait les "Hooks" de Claude Code, offrant la possibilité d'exécuter des commandes malveillantes à distance. La deuxième faille contourne le consentement lié au Model Context Protocol (MCP), tandis que la troisième permettait de dérober les clés API d'Anthropic en modifiant une variable spécifique du projet.
Collaboration pour renforcer la sécurité
Avant la divulgation du rapport, Anthropic a travaillé en étroite collaboration avec Check Point pour résoudre ces vulnérabilités. Des correctifs ont été déployés, renforçant les protocoles de sécurité de Claude Code. Malgré ces actions correctives, ces révélations soulignent les risques potentiels liés à l'intégration de l'IA dans les chaînes d'approvisionnement logicielles.
Les informations mentionnées proviennent de Numerama.
