漏洞描述:

Clаudе Cоdе是一款代理编码工具它允许用户在上下文窗口中添加不受信任的内容,从而绕过确认提示读取文件并通过网络发送文件内容而无需用户确认,该漏洞存在于1.0.4版本之前,由于安全命令的白名单设置过于宽松导致。

攻击场景:

攻击者可以将不受信任的内容添加到Claude Code的上下文窗口中,从而绕过确认提示读取文件并通过网络发送文件内容而无需用户确认

影响产品:

Claude Code < 1.0.4 

检测方法:

检查Claude Code的配置和代码,确认是否对添加到上下文窗口的内容进行了适当的安全检查

利用条件:

攻击者需要能够将不受信任的内容添加到Claude Code的上下文窗口中

修复建议:

补丁名称:

Clаudе Cоdе认证绕过漏洞的补丁-更新至最新版本1.0.4在线安装

补丁文件链接：

https://docs.anthropic.com/en/docs/claude-code/overview 

缓解方案:

限制对Clаudе Cоdе上下文窗口的访问,确保只有受信任的内容可以被添加

文章来源：飓风网络安全