NERDMANClaude Code ignoriert eigene Sicherheitsregeln bei zu vielen Befehlen
Anthropics Coding-Agent hat ein peinliches Problem: Wer genug Subcommands aneinanderreiht, hebelt die eingebauten Schutzregeln komplett aus.
Was passiert ist
Claude Code nutzt sogenannte Deny Rules — hartcodierte Sperren, die gefährliche Aktionen wie Dateilöschung oder Systemzugriffe blockieren sollen. Doch diese Regeln haben ein Limit. Wer eine ausreichend lange Kette von Befehlen zusammenbaut, überschreitet die interne Obergrenze. Danach? Keine automatische Durchsetzung mehr.
So funktioniert der Exploit
- Angriff:** Subcommand-Overflow — massenhaft Befehle verketten, bis das Deny-Limit kippt
- Folge:** Sicherheitsregeln werden still ignoriert, der Bot führt alles aus
- Angriffsvektor:** Prompt Injection — ein Angreifer kann manipulierte Eingaben einschleusen, die den Overflow auslösen
💡 Was das bedeutet
Jeder, der Claude Code in einer produktiven Umgebung einsetzt, hat ein Problem. Der Agent soll eigenständig mit Dateien, Terminal und Git arbeiten — genau die Stellen, wo ein Sicherheits-Bypass richtig wehtut. Prompt Injection ist ohnehin das Dauerproblem von LLM-Agenten. Wenn dann auch noch die letzte Verteidigungslinie bei genug Befehlen einfach aufgibt, wird es ernst.
✅ Pro
- Anthropic ist bekannt für schnelle Patches bei Sicherheitslücken
- Deny Rules sind grundsätzlich der richtige Ansatz
❌ Con
- Ein hardcodiertes Limit für Sicherheitsregeln ist ein Anfängerfehler
- Prompt Injection bleibt ein ungelöstes Grundproblem bei Coding-Agents
- Nutzer wissen nicht, wann ihre Deny Rules still aufhören zu greifen
Der Elefant im Raum
Coding-Agents bekommen immer mehr Rechte. Sie pushen Code, ändern Configs, löschen Dateien. Gleichzeitig basieren ihre Sicherheitsmechanismen auf Limits, die ein cleverer Prompt aushebeln kann. Das ist kein Randproblem — das ist die zentrale Schwachstelle der gesamten Agent-Architektur.
