【資安日報】4月7日,Claude Code資料外洩事故成駭客散佈惡意軟體的新誘餌
事件背景與外洩細節
Anthropic的Claude Code程式碼外洩,導致眾多開發者從GitHub等平臺下載測試,資安廠商Zscaler研究人員警告,此舉可能引進惡意程式與新漏洞,造成供應鏈攻擊或本地開發環境受損。
駭客行為與惡意軟體佈下
駭客利用假造的「Claude Code程式碼外洩」事件,設下精準釣魚陷阱,聲稱提供「解鎖企業功能」的外洩版原始碼,引誘開發者下載。
一旦解壓縮執行,電腦即會感染惡意軟體Vidar,造成系統被入侵與資料外洩。
技術與風險分析
- 外洩規模達50萬行以上,涵蓋1900多個檔案與完整架構。
- 核心影響為AI Agent系統設計被全面曝光,包括名為「harness」的架構。
- 關鍵風險包括IP外洩與惡意提示詞注入,使傳統防護機制失效。
後續發展與警示
Anthropic強調,此次事件未導致任何客戶資料或內部資訊外洩,但已引發對AI工具資安設計的廣泛討論。
資安專家呼籲開發者應謹慎評估下載來源,避免因追求新功能而落入惡意陷阱。