Claude把安全開關(guān)藏了50層，黑客笑納SSH密鑰

3月31日，Anthropic意外泄露了Claude Code的大部分源代碼。一周后，安全研究人員在這堆代碼里挖出一個設(shè)計精巧的"后門"——不是程序員故意留的，是性能優(yōu)化順手埋的雷。

漏洞藏在bashPermissions.ts文件的第2162行。簡單講：Claude Code允許開發(fā)者配置"禁止運行rm"這類拒絕規(guī)則，但當(dāng)一條命令通過&&、||或;連接超過50個子命令時，系統(tǒng)會直接跳過安全檢查。

打個比方：你家門口裝了人臉識別，單個人進出都查。但要是來了一隊50人的旅游團，保安嫌麻煩，從第51個人開始直接放行。Anthropic的工程師確實在代碼注釋里寫了理由——"50條已經(jīng)很慷慨了，正常用戶不會拆分那么散"。

問題是，AI不是"正常用戶"。

攻擊者只需構(gòu)造一個開源項目，讓Claude生成一條超長命令流水線，把惡意操作藏在第51個位置。前面50個true命令當(dāng)掩護，后面的rm、curl或者數(shù)據(jù)外泄操作就能長驅(qū)直入。研究團隊實測：竊取SSH密鑰、云憑證、API Token，路徑清晰可行。

更諷刺的是，Anthropic早就寫好了修復(fù)方案。他們開發(fā)的tree-sitter解析器能正確處理任意長度的命令，代碼寫完、測試通過，就躺在同一個倉庫里——但從未合進正式版本。這像極了產(chǎn)品經(jīng)理天天掛在嘴邊的"技術(shù)債"：方案有了，排期沒有。

4月4日，Anthropic在v2.1.90版本里補上了這個洞，官方措辭很技術(shù)："解析失敗回退導(dǎo)致的deny rules降級"。超過50萬開發(fā)者曾經(jīng)暴露在風(fēng)險下，而他們的安全策略其實從未生效，只是沒人告訴他們。

Claude Code是Anthropic增長最快的產(chǎn)品，年經(jīng)常性收入估計達25億美元。它的權(quán)限系統(tǒng)被企業(yè)安全團隊當(dāng)作核心邊界——AI能執(zhí)行shell命令，但得按規(guī)則來。當(dāng)這個邊界無聲失效，開發(fā)者就像戴著沒通電的電子手環(huán)，以為被監(jiān)控著，實則自由落體。

研究團隊的后續(xù)建議很務(wù)實：別再把拒絕規(guī)則當(dāng)銅墻鐵壁，限制AI的shell權(quán)限到最小范圍，監(jiān)控異常出站連接，運行前審計CLAUDE.md文件。畢竟，你永遠不知道第51個命令里藏著什么。

Adversa AI表示這只是第一份報告。泄露的代碼庫還在被逐行審視，更多發(fā)現(xiàn)正在路上。