登录体验完整功能(收藏、点赞、评论等) — 已累计有 12555 人加入

Anthropic旗下Claude Code被曝安全漏洞 超50条指令可绕过防护

详情页推荐

2026年4月,以色列安全厂商Adversa披露AI巨头Anthropic旗下代码开发工具Claude Code存在严重安全漏洞:因代码硬编码“最大安全检查子命令数”上限为50,攻击者只需构造超过该数量的超长指令链即可绕过内置安全拦截规则,诱导开发者执行高风险操作,当前该漏洞已引发AI开发工具安全领域的广泛关注。

在日常开发场景中,不少开发者已经养成了复制AI生成代码、直接点击运行确认的习惯,而这一惯性恰恰可能被本次曝光的漏洞利用。Adversa研究人员在测试中验证,仅需在恶意代码片段中嵌套插入51条无意义的子命令,就能让Claude Code直接跳过对后续高风险指令的自动拦截。

作为Anthropic面向开发者群体推出的核心产品,Claude Code被视为GitHub Copilot的核心竞品,凭借长上下文处理能力获得了大量企业用户青睐,2025年全球市场份额已突破18%,其中近六成企业用户将其接入了自动化集成(CI/CD)交付链路。随着AI编程助手的渗透率持续提升,这类工具的安全缺陷影响范围早已从个人开发者延伸到企业级业务系统。

本次曝光的漏洞原理并不复杂:Claude Code代码中硬编码了名为「最大安全检查子命令数」的变量,阈值固定为50。在指令条数低于50时,系统会逐行扫描所有指令内容,自动拦截未授权网络请求、恶意代码植入等高风险操作;一旦指令条数超过该阈值,系统为了缩短响应时长,会直接将安全防护等级从「自动拦截」降级为「用户确认」。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。