據 4 月 7 日最新消息,安全研究機構Adversa AI在對此前意外泄露的Claude Code源代碼進行深度審查時,發現了一個足以令開發者背脊發涼的致命高危漏洞:當該工具處理超過 50 條子命令的複合命令時,會靜默繞過用戶設置的所有安全過濾規則。

漏洞復現:第 51 條命令是“隱身”的惡意代碼

Claude Code作爲Anthropic旗下增長最快的 AI 編程助手,允許開發者通過命令行直接管理代碼庫。爲了防止敏感數據外泄,系統內置了權限校驗(如禁止執行 curl 或 rm)。然而,研究人員發現:

  • 靜默繞過: 如果攻擊者在一串命令中通過 && 或 ; 連接超過 50 個子命令,Claude Code將不再對後續命令進行逐一審查。

  • 攻擊路徑: 攻擊者只需構造一個包含惡意 CLAUDE.md 文件的開源倉庫,誘導開發者運行。AI 可能會在前 50 條生成無害命令,而在第 51 條植入竊取 SSH 密鑰或 API Token 的指令,系統將直接默認放行。

禍起“優化”:爲了 UI 不卡頓而降級的安全性

令人唏噓的是,這一漏洞的產生並非技術無能,而是源於一次“性能妥協”。

  • 內部工單記錄: Anthropic內部編號爲 CC-643 的工單顯示,工程師發現對超長複合命令進行逐條安全分析會導致 UI 界面卡頓。

  • 假設破裂: 開發團隊當時認爲正常用戶不會輸入 50 多條子命令,因此將 50 設爲分析上限,超出部分回退到“詢問用戶”模式。然而,他們忽略了 AI 提示詞注入攻擊可以輕易突破這一人類行爲假設。

諷刺現實:修復方案曾被“鎖”在倉庫裏

Adversa AI的報告指出,Anthropic實際上早已開發出一套基於 tree-sitter 的新型解析器,無論命令多長都能正確校驗安全規則。這套成熟的代碼就躺在源碼倉庫中並經過了測試,但出於某種原因,從未被應用到實際交付給客戶的生產版本中。

風險評估:影響 50 萬開發者,年營收 25 億美元的“安全網”現洞

目前,該漏洞已波及超過 50 萬名開發者。作爲Anthropic產生的年經常性收入達 25 億美元(約 172.3 億元人民幣)的核心產品,權限系統的失效意味着企業安全團隊建立的最後一道防線已然崩塌。

最新進展:官方已緊急修復

值得慶幸的是,在源碼泄露事件引發的這波“全民審計”壓力下,Anthropic已於 4 月 4 日發佈了Claude Code v2.1.90版本。官方在公告中將此修復描述爲“解析失敗回退導致的 deny rules 降級”,目前該漏洞已被正式堵上。

安全建議:

研究團隊提醒廣大開發者,不要過度依賴 AI 工具自帶的拒絕規則作爲唯一的安全邊界。在使用Claude Code運行任何未知倉庫前,請務必審計 CLAUDE.md 文件,並將其 Shell 訪問權限限制在最小必要範圍內。