为省开销把安全当代价？Claude Code 源码外泄后曝出首个严重高危漏洞

据 4 月 7 日最新消息，安全研究机构Adversa AI在审阅此前意外曝光的Claude Code源码后披露：存在一个足以让开发者后背发凉的高危问题——当工具处理超过 50 条子命令的组合指令时，会悄然跳过用户配置的全部安全过滤规则。

漏洞复现实验：第 51 条成“隐形”的恶意指令

Claude Code作为Anthropic旗下增速最快的编程助手，支持开发者用命令行直接操控代码库。为避免敏感信息泄露，系统内置了权限校验（如禁止执行 curl 或 rm）。但研究人员发现：

• 悄然绕过： 若攻击者把命令用 && 或 ; 串联成 50 条以上的子命令，Claude Code对后续子命令将不再逐条审查。

• 攻击思路： 攻击者只需在开源仓库中放入带有恶意内容的 CLAUDE.md，引导开发者运行。AI 可能在前 50 条生成看似安全的操作，而把窃取 SSH 密钥或 API Token 的指令藏在第 51 条，系统会直接默认通过。

问题根源是“优化”：为不卡 UI 降了安全等级

更令人唏嘘的是，这个漏洞并非技术能力不足，而是一次“性能取舍”的产物。

• 内部记录： Anthropic内部编号 CC-643 的工单显示，工程师发现对超长组合命令逐条做安全分析，会导致界面卡顿。

• 假设失效： 团队当时认为普通用户很少会输入 50 条以上的子命令，于是把分析上限定为 50，超过部分回退为“询问用户”模式。但他们低估了提示词注入，轻松就能突破这一“人类行为”假设。

更讽刺：完善的修复方案早在仓库里却未上线

Adversa AI报告称，Anthropic其实早已完成一套基于 tree-sitter 的新解析器，无论命令多长都能严格校验安全规则。该方案已在源码仓库中并通过测试，但不知何故，一直没有部署到面向客户的生产版本。

风险评估：影响 50 万开发者，年营收 25 亿美元的“安全网”出现缺口

目前，该问题波及超过 50 万名开发者。作为Anthropic年经常性收入达 25 亿美元（约 172.3 亿元人民币）的核心产品，一旦权限体系失效，企业安全团队构建的最后一道防线就会被撕开。

最新进展：官方已紧急修补

好在，随着源码泄露引发的“全民审计”，Anthropic已于 4 月 4 日发布Claude Code v2.1.90版本。官方公告将该修复描述为“解析失败回退导致的 deny rules 降级”，目前这一漏洞已被正式封堵。

安全建议：

研究团队提醒开发者，不要把 AI 工具的拒绝规则当作唯一安全边界。运行任何未知仓库前，请先审阅 CLAUDE.md，并将 Shell 访问权限限制在最低必要范围。