Claude Code 曝高危安全风险,恶意配置文件或可静默执行命令

快链头条 2026-07-18 10:12:53
阅读 1,893
二维码
微信扫一扫,分享此文章
快链头条 消息,慢雾创始人余弦在 X 平台转发 Claude Code 潜在投毒攻击风险推文并发布针对 Grok Build CLI 及 Claude Code CLI 投毒攻击细节分析。其中指出,Grok Build CLI 的安全机制没有统一,不同代码路径有不同的信任假设,缝隙之间便是攻击者的通道。攻击者可能通过恶意项目配置文件,在用户不知情的情况下执行任意命令,进而窃取 API 密钥、云端凭证或控制本地设备。研究人员构造测试环境发现,在 Mac 系统中,如果 Claude Code 受到影响,执行特定测试命令后可触发本地计算器启动,证明存在潜在命令执行风险。若攻击成功,攻击者可能进一步窃取 Claude、OpenAI 等 AI 服务 API Key 造成账户费用损失,获取 AWS、阿里云、腾讯云等云服务凭证访问服务器和数据,篡改代码仓库植入后门,利用本地设备作为跳板攻击企业内部网络。据悉,相关漏洞已经存在一年。

快链头条登载此文本着传递更多信息的缘由,并不代表赞同其观点或证实其描述。
文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。
投资有风险,入市须谨慎。本资讯不作为投资理财建议。

风险提示
根据银保监会等五部门于 2018 年 8月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件, 请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。