Anthropic Claude Code 泄露揭示严重命令注入漏洞

# Anthropic Claude Code 泄露揭示重大命令注入漏洞 来源：https://beyondmachines.net/event_details/anthropic-claude-code-leak-reveals-critical-command-injection-vulnerabilities-e-6-c-1-k/gD2P6Ple2L 采取措施：如果你正在使用 Claude Code，请立即更新到最新版本，并停止使用身份验证辅助工具。相反，直接设置 `ANTHROPIC_API_KEY` 环境变量。此外，在审查拉取请求时，请像对待代码变更一样仔细审查任何 `.claude/settings.json` 的修改，并且切勿在 CI/CD 流水线中针对不可信的拉取请求运行 CLI。 对被泄露的 Anthropic Claude Code AI agent 的分析揭示了三个影响 CLI、agent 和 SDK 的严重命令注入漏洞。这些缺陷允许攻击者通过利用工具处理环境变量、文件路径和身份验证辅助工具的方式，执行任意命令并窃取凭证。 漏洞摘要（https://phoenix.security/critical-ci-cd-nightmare-3-command-injection-flaws-in-claude-code-cli-allow-credential-exfiltration/）： 所有漏洞统称为 **CVE-2026-35022（CVSS 评分 9.8）**。 - **VULN-01**：命令查找工具中的一个命令注入漏洞，当工具读取 TERMINAL 环境变量时触发。Node.js 运行时路径将该变量插入到 shell 命令字符串中，允许攻击者通过在 `.env` 文件或 CI/CD 配置中放置元字符来执行任意代码。此漏洞无需用户交互，并能完全利用用户的权限集。 - **VULN-02**：编辑器调用子系统中的一个 shell 注入漏洞，在处理精心构造的文件路径时触发。系统将文件路径放入 shell 字符串的双引号内，但 POSIX shell 规则仍会评估此上下文中的命令替换（如 $() 或反引号）。攻击者可通过在仓库中创建带有恶意名称的文件来执行命令，当用户使用 CLI 打开这些文件时攻击便会发生。 - **VULN-03**：身份验证辅助工具子系统中的一个命令注入漏洞，允许远程凭证窃取。CLI 以完整的 shell 解释方式执行来自设置项的辅助命令，并在非交互模式下跳过信任对话框。这使得攻击者能够通过拉取请求修改工作区设置，从而从 CI/CD 运行器窃取 AWS、GCP 和 Anthropic API 密钥。 成功利用这些漏洞后，攻击者可以在企业网络中横向移动，或窃取敏感的环境变量，包括云 IAM 角色和部署密钥。由于身份验证辅助工具在 agent 的安全沙箱之前运行，它们会绕过所有内建的权限检查和危险模式拦截。 在自动化环境中，这些漏洞可实现“毒化流水线执行”，仅需一个恶意的拉取请求即可危及整个软件供应链。 受影响版本为 CLI 0.2.87 和 Claude Code 2.1.87。 用户应立即停止使用身份验证辅助工具，并直接设置 `ANTHROPIC_API_KEY` 环境变量，以绕过易受攻击的执行路径。 安全团队应审计 CI/CD 流水线，确保 CLI 不会在非交互模式下针对不可信的拉取请求或 fork 贡献的工作区运行。Anthropic 建议开发人员像审查代码变更一样仔细审查 `.claude/settings.json` 的修改。未来的更新应使用基于 argv 的进程启动代替 shell 字符串执行，并对所有配置来源的字符串实施严格的元字符拒绝机制。