克劳德代码泄漏：研究人员发现首个漏洞

人类学

在源代码意外泄露后不久，名为 "克劳德代码 "的人工智能编码代理中发现了一个关键漏洞。该漏洞可能允许攻击者绕过安全保护措施，窃取开发人员的敏感数据。

Marc Herter (translated by DeepL / Ninh Duy), Published 04/07/2026 🇺🇸 🇩🇪 ...

AI Security Hack / Data Breach Server/Datacenter

3 月 31 日，克劳德人工智能背后的公司 Anthropic 意外地将克劳德代码编码代理背后的大部分代码放到了网上。从那时起 Anthropic 一直试图对该代码的副本采取行动。分析人员已经在代码中发现了一些可能让 Anthropic 感到棘手的信息。其中就包括 YOLO 协议。

虽然没有模型权重受到泄漏的影响，但它提供了该工具如何工作的详细蓝图。这使得潜在的攻击者更容易识别有针对性的漏洞，或创建极具说服力的程序副本来传播恶意软件。在这种情况下，Adversa AI 的团队在发现了 Claude Code 的权限系统中的一个关键安全漏洞。克劳德代码的权限系统中存在一个严重的安全漏洞。

Claude Code 是一款基于终端的助手，可直接在命令行中工作，并能编辑文件和执行 shell 命令。为了维护安全，该工具使用了一套权限规则系统。用户可以定义所谓的拒绝规则，严格禁止某些命令，如用于在网络上传输数据的 "curl "命令。相比之下，其他命令，如用于版本控制的 "git"，则可以明确允许。

所发现的漏洞在于复杂命令链的处理。为了避免性能问题和用户界面冻结，Anthropic 将其详细的安全分析限制在最多 50 个子命令。如果命令链更长，则会跳过单个检查，向用户显示一般提示，询问是否应执行命令。

这种行为可通过提示注入加以利用。在这类攻击中，攻击者会操纵人工智能的输入，以绕过其安全过滤器。具体来说，攻击者可以在公共软件仓库中放置一个名为 "CLAUDE.md "的篡改文件。该文件包含人工智能代理的指令。如果开发人员克隆了该软件库，并要求代理审查该项目，那么人工智能就会被指示执行一连串 50 多条看似合法的命令。

以下是根据您的要求和提供的开场白撰写的完整文章。

克劳德代码中的安全风险：泄露导致数据被盗

在源代码意外泄露后不久，人工智能编码代理克劳德代码（Claude Code）中发现了一个关键漏洞。该漏洞允许攻击者绕过安全规则，从开发人员的机器上窃取 SSH 密钥等敏感数据。

3 月 31 日，克劳德人工智能背后的公司 Anthropic 意外地将克劳德代码编码代理背后的大部分代码放到了网上。源代码可以通过在 JavaScript 软件包管理器 npm 上意外发布的所谓源代码映射（一种将编译后的程序代码转换为人类可读形式的文件）获取。因此，研究人员得以重建人工智能代理的代码。结果相当于大约 512,000 行 TypeScript 代码，这是一种基于 JavaScript 的编程语言，增加了额外的类型。

虽然没有直接暴露模型权重或客户数据，但这次泄露提供了该工具工作原理的详细蓝图。这使得潜在的攻击者更容易识别目标漏洞或创建极具说服力的程序副本，从而传播恶意软件。在这种情况下，Adversa AI 公司的团队在 Claude Code 的权限系统中发现了一个关键的安全漏洞。

Claude Code 是一款基于终端的助手，可直接在命令行中工作，并能编辑文件和执行 shell 命令。为了维护安全，该工具使用了一套权限规则系统。用户可以定义所谓的拒绝规则，严格禁止某些命令，例如用于在网络上传输数据的 "curl "命令。相比之下，其他命令，如用于版本控制的 "git"，则可以明确允许。

发现的漏洞在于复杂命令链的处理。为了避免性能问题和用户界面冻结，Anthropic 将其详细的安全分析限制在最多 50 个子命令。如果命令链更长，则会跳过单个检查，向用户显示一般提示，询问是否应执行命令。

这种行为可通过所谓的 "提示注入 "加以利用。在这种攻击中，攻击者会操纵人工智能的输入，以绕过其安全过滤器。具体来说，攻击者可以在公共软件仓库中放置一个名为 "CLAUDE.md "的篡改文件。该文件包含人工智能代理的指令。如果开发人员克隆了该软件库，并要求代理构建项目，那么人工智能就会被指示执行一连串 50 多条看似合法的命令。

从第 51 个命令开始，单独配置的拒绝规则不再适用。虽然单个 "curl "命令会被阻止，但当它嵌入一个长链时，就会被忽略。这就允许攻击者在后台从开发者的本地计算机向外部服务器发送敏感数据，如 SSH 密钥、用于安全远程访问服务器的加密密钥或云凭证。由于系统在这种情况下只要求一般确认，因此用户不会注意到他们的安全策略实际上已被覆盖。

尤其值得注意的是，泄露的 2.1.88 版源代码已经包含了对这一问题的修复。Anthropic 开发了一种更现代的解析器（一种用于分析代码结构的程序），无论命令链的长度如何，它都能正确检查拒绝规则。然而，该程序的公开版本并未实现这一点。相反，旧的有缺陷的机制仍在继续使用。

Anthropic 在此期间似乎已经解决了这个问题。根据2.1.90 版本的更新日志，一个被描述为解析失败回退拒绝规则退化的问题已得到修复。不过，据发现潜在安全漏洞的研究人员称发现潜在安全漏洞的研究人员称，还有其他方法可以解决这个问题。