OpenClaw—AI研究Adversa.AI的研究人员发现了一个严重漏洞:攻击者可通过在GitHub上放置恶意代码,操纵Claude Code等AI编码Agent执行任意命令,甚至在开发者不知情的情况下发动供应链攻击。这一发现将AI编码工具的安全性议题推到了风口浪尖。
Claude Code于2025年5月发布,目前已是初创公司和高端工程领域增长最快的工具,用户满意度在竞品中排名第一。然而,Adversa.AI发现,其Agent行为可以被攻击者利用——只需在GitHub上放置一个具有吸引力的恶意代码仓库。
攻击链的运作方式极为隐蔽。当开发者使用Claude Code处理新任务时,它会检查可用的代码仓库以寻找辅助任务的资源。一旦它定位并下载了预先准备的恶意代码,游戏基本就结束了。更关键的是,Claude Code的信任对话框默认选项就是「信任」。用户只需按一下Enter键,就能以开发者完整权限启动一个无沙箱保护的服务器进程。Adversa.AI指出:「无需任何工具调用,一次Enter键就足够了。」
如果这位开发者正在制作一个面向广泛分发的新工具,后果更为灾难性:攻击者可以窃取环境变量、部署密钥、签名证书以及运行器可用的任何凭证,静默注入到构建过程中,形成新一轮供应链攻击。Adversa.AI联合创始人Alex Polyakov表示:「开发者常用的工具是现实的优先目标。Claude Code安装在大多数开发者的机器上,他们常规克隆不熟悉的仓库并对其运行Claude,所以如果代码面向用户的CI/CD,这个攻击非常现实。」
Adversa.AI对这一问题是否只存在于Claude Code进行了验证,结果显示Gemini CLI、Cursor CLI和Copilot CLI均存在相同行为:恶意代码仓库可在用户点击信任提示的瞬间自动批准并启动任意MCP服务器,默认选项均为「是/信任」。「这不是Claude Code的问题,而是AI编码Agent CLI共享的约定问题。」Anthropic目前拒绝采取行动,认为既然用户点击了「是,我信任此文件夹」即表示同意使用其中所有内容,但如何平衡工具便利性与安全性,已是整个行业无法回避的命题。
对于正在大规模部署AI编码工具的企业而言,这一漏洞意味着:AI引入的效率提升背后,可能隐藏着前所未有的安全敞口。在享受自动化便利的同时,如何建立与之匹配的安全防护机制,将是未来几年每个技术团队都必须面对的课题。
