导语:Claude Fable 5引以为傲的安全护栏,被一个简单的命令撕开了一道口子。安全研究员aniziki近日公开披露,Claude Code中的
/btw侧信道可以绕过主对话的安全拦截,被阻断的请求不仅能在侧信道获得回答,答案还能fork进正常会话环境继续运行。这不是通用越狱,但暴露的执行差距足以让攻击者有机可乘。

攻击的起点是一个不起眼的命令:/btw。这个命令本意是在对话中插入一条附注,但在Claude Code的实现中,它运行在一个独立于主对话的侧信道环境里。aniziki发现,主对话里被安全策略拦截的请求,在侧信道里可以正常得到回答。更准确地说:安全护栏只绑定了聊天界面,没有绑定到底层的工具能力本身。

关键的一步发生在fork阶段。aniziki将侧信道的输出fork进一个启用了完整工具的正常Claude Code会话,一旦进入fork后的子会话,安全护栏虽然继续弹出提示,但已经无法真正终止会话。用他自己的话说:护栏还在说话,但说话的对象已经是一个空房间。
这意味着什么?攻击者可以先在主对话里试探边界,被拦截后换到/btw侧信道获取所需信息,然后fork到正常会话里继续利用。整个路径里没有触发通用的恶意请求检测——模型依然会拒绝明显恶意的操作,但安全边界已经被悄悄移走了。
这不是完整的越狱。模型对极端恶意请求仍有拒绝能力,攻击者无法通过这条路获得完全无限制的系统访问权。但执行机制的分散性才是真正的问题:安全策略没有统一覆盖所有交互平面,不同通道之间的执行力度存在显著落差。
安全社区对此反应不一。有研究人员指出这是”把安全绑在聊天界面上而非工具本身”的系统性代价,也有人认为独立的安全研究才是发现这类缝隙的关键。Anthropic尚未就此作出正式回应。
从红队的角度看,这个漏洞的利用路径清晰、门槛低、隐蔽性强。任何使用Claude Code处理敏感任务的用户都应当意识到:在多通道AI Agent架构中,工具能力与安全策略的绑定必须是无缝的、覆盖所有平面的,否则攻击者总能找到一个护栏够不到的角落。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。














暂无评论内容