据 SecurityWeek 当地时间 7 日报道,AI 编程工具 Claude Code 被发现存在可被利用的供应链攻击路径,其自动化流程可能被攻击者滥用。
Adversa.AI 研究人员表示,攻击者如果在 GitHub 上传嵌入隐藏恶意代码的仓库,开发者在使用 Claude Code 进行开发时,该仓库可能被自动克隆。恶意仓库一旦被下载,攻击者就可能借此取得对开发者设备的远程控制能力。
报道称,开发者在 Claude Code 中新建任务后,代理会自动搜索可用仓库。若其中包含恶意仓库,工具在拉取后会弹出文件夹信任提示,询问“你是否亲自创建或信任该项目?”,且默认选项为“信任”。研究人员指出,开发者只需按下回车键接受默认选项,攻击者搭建的恶意服务就可能在其电脑上以管理员权限自动运行,无需额外指令。
在 CI/CD 场景下,相关风险更为突出。研究人员警告称,恶意载荷可能读取环境变量、部署密钥、签名证书以及执行账户凭证等敏感信息,相关恶意代码还可能进入构建流程。
Adversa.AI 联合创始人兼 CTO Alex Polyakov 表示,使用广泛应用的开发工具的开发者,本就是现实且主要的攻击目标。Claude Code 已部署在大量开发者设备上,而开发者日常也会克隆陌生仓库,因此这类攻击具备现实可行性。
报道还称,Adversa.AI 已将相关问题报告给 Anthropic,但后者并未采取额外应对措施,其立场是,用户一旦选择信任文件夹,即视为接受其中全部内容。对此,Adversa.AI 认为,在并不了解文件夹具体内容的情况下作出这一选择,是否构成“知情同意”仍有争议。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr