Claude Code 打开 GitHub 仓库即执行隐藏恶意代码,攻击者可获完全控制
阅读原文· the-decoder.com用 AI 编码工具克隆仓库就能被反向 shell 控制,这个攻击向量比想象中简单。0DIN 的研究把整个链拆得很清楚,每条修复建议开发者现在就能用。
安全研究人员在 Mozilla 的 GenAI 漏洞赏金平台 0DIN 发现新攻击向量。一个看似正常的 GitHub 仓库包含 setup 脚本,该脚本运行时从 DNS 条目拉取命令并执行,恶意代码从未存在于仓库中,对扫描器、代码审查和 AI 智能体不可见。开发者使用 Claude Code 等 AI 编码工具打开该仓库时,Claude Code 在设置过程中遇到常规错误消息后自动运行该脚本,打开反向 shell,攻击者可窃取 API 密钥和登录凭据并维持持久访问。研究人员建议 AI 智能体应在运行前显示 setup 脚本内容,开发者应将第三方仓库的 setup 说明视为不受信任代码。
Claude Code 在未经验证的情况下运行了 GitHub 仓库中的隐藏恶意软件,使攻击者能够完全控制系统。
来自 Mozilla GenAI 漏洞赏金平台 0DIN 的安全研究人员发现了一种针对开发者机器的新攻击向量。通过一个看似正常的 GitHub 仓库,攻击者只要有人在其中使用 Claude Code 这类 AI 编码工具,就能通过间接提示词注入获得完全控制。
仓库中的某个安装脚本会在运行时从 DNS 记录中拉取一条命令并执行。该恶意代码从未实际存在于仓库本身中,因此对扫描器、代码审查和 AI 智能体均不可见。Claude Code 在安装过程中遇到一个常规错误提示,自动运行该脚本,并向攻击者开启一个反向 Shell。攻击者借此可以获取 API 密钥和登录凭证,并保持持久访问。只需在职位招聘、教程或 Slack 消息中放一个仓库链接,就足以让任何用 AI 编码工具打开它的人中招。
研究人员的修复建议是:AI 智能体在运行安装脚本之前应显示其内容。开发者也应将第三方仓库中的安装说明视为不可信代码。
不加渲染的 AI 新闻——由人类精选
订阅 THE DECODER,享受无广告阅读、每周 AI 通讯、每年六次的独家“AI 前沿”报告、完整档案访问权限以及评论区域访问权限。