Check Point揭Claude Code漏洞,惡意專案設定檔可觸發RCE並外洩API金鑰
漏洞核心與攻擊機制
Check Point Research(CPR)發布報告,詳細揭示Anthropic的程式開發助理Claude Code存在嚴重安全漏洞。該漏洞並非來自傳統的程式碼注入,而是由於Claude Code在處理專案級設定檔時,其自動化功能與安全信任機制之間的邏輯缺陷所導致。
惡意設定檔可觸發遠端程式碼執行(RCE)
攻擊者可透過惡意儲存庫中的專案設定檔,觸發遠端程式碼執行(RCE)。當開發者僅「打開專案」這個簡單動作時,工具可能在顯示信任提示前即發出API請求,導致機敏資訊如API金鑰被竊取。
API金鑰外洩風險
該漏洞讓攻擊者能透過惡意專案設定檔,竊取開發者的Anthropic API金鑰,並執行未授權的指令。這意味著開發者在無意識中,可能讓駭客取得對其AI服務的完全控制權。
影響範圍與建議
- 影響版本:Claude Code 1.0.87與1.0.111之前版本。
- 建議行動:用戶應立即更新至最新版本,並檢查相關權限設定,以降低風險。