Simon hatte ja in einem seiner letzten Videos die Desktop-App und MCP Server vorgestellt. Leider gibt es wieder ein großes Problem mit Claude.
Wobei man fairer Weise sagen muss, dass das Problem 30cm vor dem Bildschirm sitzt.
Trotzdem ist es nicht trivial.
Jeder der mit Claude eine Integration, App oder Template für z.B. Home Assistant gebaut hat / bauen ließ sollte das bitte überprüfen.
Original Text:
THOUSANDS OF ANTHROPIC API KEYS ARE SITTING EXPOSED ON GITHUB RIGHT NOW. Anyone can find them.
Search “claude_desktop_config” on GitHub. Hundreds of real API keys. Sitting in public repos. Uploaded by people who had no idea they were leaking their credentials to the entire internet. This is the dark side of vibe coding nobody talks about.
People are shipping fast. Pasting config files. Pushing to GitHub without thinking. And leaving the keys to their entire AI stack exposed to anyone who knows where to look.
If you use Claude and have ever pushed a config file to a public repo you need to check this right now.
Go to Anthropic console. Regenerate your API keys. Set up a .gitignore that blocks config files before you push anything ever again. The vibe coding wave is real and powerful. But moving fast and leaking your keys is not shipping. It is leaving your front door open and wondering why someone walked in.
Check your repos today.
Warum passiert das?
Die Claude Desktop App speichert den API-Key standardmäßig in claude_desktop_config.json (Pfad je nach OS: ~/Library/Application Support/Claude/ auf macOS, %APPDATA%\Claude\ auf Windows etc.).
Viele „vibe coder“ kopieren ganze Projekt-Ordner oder Configs in öffentliche Repos, ohne die Datei in .gitignore zu setzen oder den Key zu entfernen.
GitHub indexiert das sofort – jeder kann danach suchen.
Was du tun solltest, falls du Claude nutzt:
Geh in die Anthropic Console → regeneriere deinen API-Key.
Füge claude_desktop_config.json (und .env, *.config.json etc.) in deine .gitignore ein.
Suche selbst auf GitHub nach deinem eigenen Key-Prefix („sk-ant-…“), falls du mal etwas gepusht hast.
Zusätzlich gibt es gerade einen großen Sturm der Entrüstung in der Entwickler-Welt das Claude Opus 4.7 wohle massive Sicherheitslücken / Fehler hat wenn man ihn nicht korrekt bedient und selbst wenn.. es mehrfach zum Ignoirenen von Safeguads und restrictions gekommen ist.
Das ist aber ein anderes Thema.. wie immer gilt: lieber die Website nutzen, als eine KI auf das eigene System zu lassen.
Simon hat dazu ja viele super praktische Tipps gegeben, wie man korrekt mittels der Website ans Ziel kommt … ohne seine privaten Daten offen zu legen..
Was ist passiert?
OX Security hat eine systemische/architektonische Schwachstelle im Model Context Protocol (MCP) von Anthropic aufgedeckt. MCP ist ein offener Standard/Protokoll für die Kommunikation zwischen AI-Agenten und externen Tools/Datenquellen (z. B. lokale Server, Datenbanken, APIs). Es wird von vielen Frameworks und Tools genutzt (LiteLLM, LangChain, LangFlow, Flowise usw.).Der Kern des Problems ist kein klassischer Programmierfehler, sondern eine Design-Entscheidung im offiziellen MCP-SDK von Anthropic (für Python, TypeScript, Java, Rust usw.):
Über den STDIO-Transport (Standard-Input/Output) werden Befehle als Subprozesse gestartet.
Es gibt keine ausreichende Validierung/Sanitisierung von Benutzereingaben oder Konfigurationen (z. B. JSON-Configs mit “command” und “args”).
Schädliche Befehle werden ausgeführt, auch wenn der MCP-Server-Handshake danach fehlschlägt (Execute-first, validate-never).
Das ermöglicht Arbitrary Command Execution (RCE) – also vollständige Übernahme des Systems, Zugriff auf Daten, API-Keys, Chat-Historien usw.
ox.security
Ausmaß
Über 150 Millionen Downloads der betroffenen SDKs/Pakete.
Bis zu 200.000 Server potenziell exponiert (inkl. ca. 7.000+ öffentlich erreichbare).
Betroffen sind viele populäre AI-Tools und Frameworks.
OX hat vier Exploit-Familien identifiziert (UI-Injection, Hardening-Bypasses, Zero-Click Prompt Injection, vergiftete Marketplaces) und erfolgreich RCE auf sechs produktiven Plattformen demonstriert. Es gibt mindestens 10 CVEs (High/Critical)
Reaktion von Anthropic
Anthropic sieht das Verhalten als “expected” (gewolltes Design) und hat die Protokoll-Architektur nicht geändert. Sie haben nur Dokumentation aktualisiert und raten Entwicklern, Inputs selbst zu sanitizen. OX hat mehrmals (seit November 2025) verantwortungsvoll disclosed, aber keine root-fix erhalten. Das führt zu Kritik, weil das Problem sich durch die gesamte Supply Chain zieht.
Viele Downstream-Projekte haben inzwischen gepatcht oder Mitigations implementiert (z. B. Allowlists, Sandboxing, Vermeidung von STDIO wo möglich).Was solltest du tun, falls du MCP nutzt?
Updaten auf die neuesten Versionen der betroffenen Tools
Inputs immer als untrusted behandeln, Allowlists für Commands verwenden, Sandboxing einsetzen.
STDIO-Transport wo möglich vermeiden oder streng absichern.
Tools wie AI IDEs (Cursor, Windsurf, Visual Studio Code, Claude Code,..), Agent-Frameworks oder Marketplaces besonders prüfen.