安全機制形同虛設?
當以色列資安公司Adversa的研究團隊發現一個簡單到令人不安的漏洞時,AI開發圈掀起一陣波瀾。他們在Anthropic旗下工具「Claude Code」的外洩原始碼中,找到能讓駭客輕鬆繞過安全限制的致命缺陷。
漏洞運作原理
根據調查,問題出在系統對子指令數量的處理方式。Claude Code原本設有安全機制來阻擋危險指令,例如禁止使用curl等可能引發資安風險的操作。但bashPermissions.ts檔案顯示,這個檢查機制設有「50個子指令」的上限,一旦超過這個數量,系統便會從直接阻擋退化成「向使用者請求權限」。
「開發者只考慮了人類手動輸入的極限,卻忽略了惡意文件能輕鬆生成超長指令。」Adversa團隊如此解釋這個設計盲點。
概念驗證令人憂心
研究團隊的測試方法簡單卻有效:將50個無實際作用的「true」指令與一個被明令禁止的curl指令串接。結果顯示,Claude Code的安全防線立刻崩潰,不但沒有阻擋危險指令,反而跳出授權視窗。
實務風險更甚
在實際開發環境中,這個漏洞可能造成更大危害。許多開發者會開啟自動允許模式,或在長時間工作中反射性點擊同意。更危險的是,如果在非互動模式的CI/CD流水線中運行Claude Code,這個漏洞將直接被觸發,讓惡意程式碼暢通無阻。
修補方案簡單卻未實施
諷刺的是,從外洩原始碼可知Anthropic內部已有「tree-sitter」解析器能解決此問題,卻未實裝在公開版本。Adversa強調,修補其實只需一行程式碼:將超出上限的預設行為從「詢問」改為「拒絕」。
未解之問
為何Anthropic明知有解決方案卻未及時修補?截至發稿前,該公司仍未對這項漏洞發表正式回應。這個事件不僅揭露了AI工具的安全隱憂,更引發業界對開發流程透明度的質疑。
常見問題 FAQ
Claude Code的漏洞會影響哪些使用者?
主要影響使用Claude Code進行開發的工程師,特別是在自動化流程中部署該工具的企業用戶風險最高。
如何暫時防範這個漏洞?
開發者應關閉自動授權功能,並避免在非互動環境中使用Claude Code處理未知來源的指令。
這個漏洞是否已被修復?
截至最新消息,Anthropic尚未發布官方修補程式,建議使用者保持警惕並關注後續更新。
※ 此篇文章由 AI 改寫或生成,內容僅供參考,可能存在錯誤或不準確之處。
About the Author
