指令一多就会“失守”？研究称Claude Code安全机制存隐患

近日，以色列安全公司 Adversa 披露称，Anthropic 旗下的开发工具 Claude Code 存在一处严重安全问题。研究人员表示，当该工具一次性接收到过多的子指令时，其内置的安全拦截策略可能会失效。

问题根源在于代码中的硬编码限制。系统内部设定了一个名为“最大安全检查子命令数”的变量，其上限被固定为 50 个。

简单的溢出手法即可绕过拦截

在常规情况下，Claude Code 会按规则自动阻断如网络请求等高风险动作。但一旦指令链超过 50 个，系统会从“自动拒绝”降级为“向用户确认”。

攻击者可利用此特性，在恶意代码库中埋入超长的指令链，诱导 AI 执行危险命令。尽管系统会给出提示，但开发者在长时间工作中可能习惯性点击允许，从而造成防线失守。

专家呼吁尽快推出修复

安全专家指出，这类“计数器失灵”带来的风险在自动化集成（CI/CD）环境中尤为突出。由于非交互模式下可能默认跳过权限确认，程序会直接赋予 AI 执行权限。

有意思的是，据称 Anthropic 内部已开发出更先进的解析器来解决相关问题。专家建议官方尽快将该能力面向公众发布，并把关键安全逻辑从“询问”改为“直接拒绝”。