据 4 月 7 日最新消息,安全研究机构Adversa AI在对此前意外泄露的Claude Code源代码进行深度审查时,发现了一个足以令开发者背脊发凉的致命高危漏洞:当该工具处理超过 50 条子命令的复合命令时,会静默绕过用户设置的所有安全过滤规则。

漏洞复现:第 51 条命令是“隐身”的恶意代码

Claude Code作为Anthropic旗下增长最快的 AI 编程助手,允许开发者通过命令行直接管理代码库。为了防止敏感数据外泄,系统内置了权限校验(如禁止执行 curl 或 rm)。然而,研究人员发现:

  • 静默绕过: 如果攻击者在一串命令中通过 && 或 ; 连接超过 50 个子命令,Claude Code将不再对后续命令进行逐一审查。

  • 攻击路径: 攻击者只需构造一个包含恶意 CLAUDE.md 文件的开源仓库,诱导开发者运行。AI 可能会在前 50 条生成无害命令,而在第 51 条植入窃取 SSH 密钥或 API Token 的指令,系统将直接默认放行。

祸起“优化”:为了 UI 不卡顿而降级的安全性

令人唏嘘的是,这一漏洞的产生并非技术无能,而是源于一次“性能妥协”。

  • 内部工单记录: Anthropic内部编号为 CC-643 的工单显示,工程师发现对超长复合命令进行逐条安全分析会导致 UI 界面卡顿。

  • 假设破裂: 开发团队当时认为正常用户不会输入 50 多条子命令,因此将 50 设为分析上限,超出部分回退到“询问用户”模式。然而,他们忽略了 AI 提示词注入攻击可以轻易突破这一人类行为假设。

讽刺现实:修复方案曾被“锁”在仓库里

Adversa AI的报告指出,Anthropic实际上早已开发出一套基于 tree-sitter 的新型解析器,无论命令多长都能正确校验安全规则。这套成熟的代码就躺在源码仓库中并经过了测试,但出于某种原因,从未被应用到实际交付给客户的生产版本中。

风险评估:影响 50 万开发者,年营收 25 亿美元的“安全网”现洞

目前,该漏洞已波及超过 50 万名开发者。作为Anthropic产生的年经常性收入达 25 亿美元(约 172.3 亿元人民币)的核心产品,权限系统的失效意味着企业安全团队建立的最后一道防线已然崩塌。

最新进展:官方已紧急修复

值得庆幸的是,在源码泄露事件引发的这波“全民审计”压力下,Anthropic已于 4 月 4 日发布了Claude Code v2.1.90版本。官方在公告中将此修复描述为“解析失败回退导致的 deny rules 降级”,目前该漏洞已被正式堵上。

安全建议:

研究团队提醒广大开发者,不要过度依赖 AI 工具自带的拒绝规则作为唯一的安全边界。在使用Claude Code运行任何未知仓库前,请务必审计 CLAUDE.md 文件,并将其 Shell 访问权限限制在最小必要范围内。