La recente correzione di sicurezza rilasciata da Anthropic nella versione v2.1.149 di Claude Code chiude una falla potenzialmente grave negli ambienti Windows che usano PowerShell come shell predefinita. Il problema riguardava un bypass dei controlli di permessi che permetteva all’agente AI di modificare la directory di lavoro in modi non tracciati, aprendo la strada all’accesso a file e cartelle fuori dallo spazio autorizzato.

In termini tecnici, la vulnerabilità sfruttava il comportamento delle funzioni built-in di PowerShell legate al comando cd. Istruzioni come cd.., cd\, cd~ o la semplice navigazione tra unità (X:) non venivano correttamente rilevate dal meccanismo di sorveglianza di Claude Code che normalmente monitora i cambiamenti di directory. Questo significa che l’agente, eseguendo codice o comandi all’interno del workspace, poteva in realtà spostarsi in directory di sistema, cartelle personali dell’utente o percorsi di rete a cui non dovrebbe avere accesso in base alle policy di sicurezza.

Il meccanismo di sandboxing di Claude Code si basa sull’idea che l’agente operi entro un workspace definito, con accesso limitato a quei file e quelle risorse. Quando un utente avvia Claude Code in una cartella di progetto, il sistema assume che tutte le operazioni di lettura, scrittura ed esecuzione rimangano confinate in quel contesto. Questo principio è fondamentale per proteggere dati sensibili, chiavi di accesso, credenziali e file di configurazione che potrebbero risiedere in altre parti del filesystem.

PowerShell Claude Code

Il bypass rendeva possibile aggirare proprio questa protezione. Un agente AI, potenzialmente guidato da input malevoli o da prompt injection, poteva usare comandi cd non monitorati per uscire dal workspace, quindi accedere a file con comandi di lettura o scrittura successivi.

La gravità del problema è accentuata dal fatto che Claude Code è spesso usato in contesti dove si gestiscono codici sorgente, configurazioni di infrastrutture, database e talvolta anche dati prodotti o informazioni personali. In un ambiente enterprise, l’accesso incontrollato al filesystem potrebbe portare a furto di proprietà intellettuale, esposizione di segreti di sistema o compromissione di intere infrastrutture se l’agente viene usato per eseguire script di deployment.

Anthropic ha imposto che dalla v2.1.149 in poi tutti i comandi cd di PowerShell siano tracciati e validati contro il workspace autorizzato. Qualsiasi tentativo di uscire dai confini imposti viene bloccato o almeno registrato, ripristinando il principio di sicurezza per default. Questo fix è classificato come advisory di sicurezza, non come semplice patch migliorativa, e ciò significa che l’impatto è considerato significativo dalla stessa Anthropic.

Per gli utenti Windows l’aggiornamento è obbligatorio. La procedura è semplice, visto che basta eseguire claude update dalla riga di comando o, se installato tramite winget, winget upgrade Anthropic.ClaudeCode. Chi continua a usare versioni precedenti alla v2.1.149, espone il proprio ambiente a un rischio concreto, soprattutto se lavora con agenti che hanno accesso a input esterni o a dati non completamente fidati.