Claude Code 可被诱骗执行隐藏恶意软件

关键信息

恶意行为被隐藏在多层跳转之后：Claude Code 遇到常见错误后会自动运行仓库的安装脚本，而脚本又会在运行时从 DNS 记录中取回命令。由于载荷根本不存放在仓库里，扫描器、代码审查和 AI 代理在执行前都可能看不到它。

资讯摘要

Mozilla 的 GenAI 漏洞赏金平台 0DIN 的安全研究人员发现了一种针对使用 AI 编程工具的开发者的新攻击方式。攻击从一个看起来很普通的 GitHub 仓库开始，其中包含了会被代理信任的安装说明。Claude Code 在安装过程中遇到常见错误后，会自动运行仓库里的脚本，而不会先要求人工确认。这个脚本随后会在运行时从一个 DNS 记录中取回命令并执行，因此恶意载荷并不直接存在于仓库中。

研究人员表示，这会在受害者机器上建立反向 Shell，让攻击者直接进入系统。随后，攻击者可以窃取 API 密钥、登录凭据，并保持持续访问。文章指出，只要在招聘信息、教程或 Slack 消息里发一个仓库链接，就可能足以让任何用 AI 编程工具打开它的人中招。研究人员给出的防御建议很直接：AI 代理在执行安装脚本前应先展示脚本内容，而开发者也应把第三方仓库的安装说明视为不可信代码。

资讯正文

Claude Code 在未进行验证的情况下运行了 GitHub 仓库中的隐藏恶意软件，使攻击者获得完全控制权

0DIN 的安全研究人员——Mozilla 的 GenAI 漏洞赏金平台——发现了一种针对开发者机器的新型攻击向量。攻击者可以通过一个看似正常的 GitHub 仓库，借助间接提示注入，在有人使用 Claude Code 之类的 AI 编程工具打开它时立即获得完全控制权。

该仓库中的一个安装脚本会在运行时从 DNS 记录中拉取一条命令并执行。恶意代码本身从未存在于仓库里，因此扫描器、代码审查以及 AI 代理都无法看到它。Claude Code 在安装过程中遇到一条常见错误信息后，会自动运行该脚本，并打开一个到攻击者的反向 shell。随后，攻击者可以获取 API 密钥和登录凭证，并保持持久访问。招聘信息、教程或 Slack 消息中的一个仓库链接，就足以让任何用 AI 编程工具打开它的人被入侵。

研究人员表示，修复办法是：AI 代理在运行安装脚本之前，应先展示脚本内容。开发者也应将第三方仓库中的安装说明视为不可信代码。

来源与参考

1. 原始链接
2. Claude Code runs a GitHub repo's hidden malware without verification, giving attackers full control