核心事件: 安全公司 Adversa AI 在审查泄露的 Anthropic 编程助手 Claude Code 源码时,挖出了一个非常要命的漏洞。简单来说,当工具处理的命令里塞进了超过 50 个子命令,所有的安全过滤规则就直接“失效”了。
漏洞怎么复现?第 51 条命令成了“隐形杀手”
Claude Code 是 Anthropic 增长最快的编程助手,允许开发者在命令行里直接操作代码仓库。为了防止敏感数据泄露,系统本来内置了权限检查,比如直接禁止执行 curl 或 rm 这种危险命令。但研究人员发现了一个很阴险的攻击路径:
- 隐蔽绕过机制: 如果攻击者用
&&或;把超过 50 个子命令连在一起,Claude Code 就停止对第 50 条之后的命令进行单独检查了。 - 攻击手法: 攻击者只需要创建一个开源仓库,里面放个恶意的
CLAUDE.md文件,诱导开发者运行。AI 可能会老老实实生成前 50 条无害指令,然后在第 51 条突然插入窃取 SSH 密钥或 API Token 的代码。这时候,系统会直接放行,根本不管。
根本原因:为了流畅度,牺牲了安全
说实话,这个漏洞不是技术能力不行,而是工程团队在用户体验和安全性之间做了一个错误的取舍。
- 内部工单记录: Anthropic 内部编号为 CC-643 的工单显示,工程师早就发现,如果要对长复合命令进行逐项安全分析,界面会卡得动不了。
- 错误的假设: 开发团队基于一个假设:普通用户不会输入超过 50 个子命令的复杂指令。所以他们设定了 50 条命令的分析上限,超过这个数就直接切换成“用户确认”模式。他们完全没意识到,AI 提示注入攻击(Prompt Injection)能轻易打破这个关于人类行为的假设。
讽刺的现实:修复代码早就“锁死”在仓库里了
Adversa AI 的报告里提到,Anthropic 其实已经开发了一个基于 tree-sitter 的新解析器,这个解析器能正确验证任何长度的命令安全性。这套代码早就写好了,也在仓库里跑过测试,但不知什么原因,从来就没应用到给客户的正式版本里。
风险评估:50 万开发者受影响,25 亿美元产品的防线塌了
- 受影响范围: 目前这个漏洞已经波及超过 500,000 名开发者。
- 经济损失: 作为 Anthropic 的核心产品,Claude Code 每年产生的经常性收入(ARR)高达 25 亿美元(约合 17.23 亿元人民币)。
- 后果严重性: 权限系统一失效,企业安全团队的最后一道防线就彻底崩塌了,数据泄露的风险极高。
最新进展:官方终于发补丁了
在源代码泄露引发的“公开审计”压力下,Anthropic 于 4 月 4 日 发布了 Claude Code v2.1.90 版本。官方公告把这个修复描述为“由解析失败回退导致的规则拒绝降级”问题,看来这个漏洞目前已经通过官方补丁修复了。
安全建议
研究团队提醒开发者注意几点:
- 别太信任 AI: 千万别把 AI 工具内置的拒绝规则当成唯一的安全边界。
- 代码要审查: 在运行任何未知的仓库代码之前,务必检查
CLAUDE.md文件。 - 最小权限原则: 限制对 Shell 的访问权限,只开放运行代码所必需的最小范围。
