随着AI开发工具逐步整合自动化流程与外部服务，项目配置文件正成为新的供应链攻击入口。安全公司Check Point披露，Anthropic的编程助手Claude Code存在安全漏洞，攻击者可通过恶意代码仓库中的项目配置文件触发远程代码执行（RCE），甚至窃取开发者的Anthropic API密钥。

Claude Code在加载项目配置文件时存在漏洞，可触发Shell命令并泄露Anthropic API密钥

研究人员指出，这些漏洞与Claude Code处理项目配置文件、Hooks机制（可在特定事件发生时自动执行命令），以及Model Context Protocol（MCP）集成流程有关。一旦攻击者在代码仓库中预先植入恶意配置文件，当开发者在本地打开该项目时，Claude Code可能在初始化过程中直接执行配置文件中的指令。

Check Point共披露三项漏洞，其中两项被评定为高风险（High）。首先是未分配CVE编号的代码注入漏洞，CVSS风险评分为8.7。该漏洞源于Claude Code在新建目录启动时存在用户确认流程绕过问题，攻击者可在项目配置文件.claude/settings.json中定义恶意Hooks，使系统在未经额外确认的情况下执行任意代码。

图片来自Check Point

研究人员指出，Claude Code在启动新项目时会显示提示信息，提醒用户系统可能读取或执行文件，但该提示未说明Hooks指令可能自动执行。测试表明，恶意仓库中的Hooks配置可能在未弹出额外确认提示的情况下直接执行，导致开发者在不知情的情况下触发恶意指令。

另一项高风险漏洞为CVE-2025-59536，CVSS风险评分为8.7，同样属于代码注入问题。攻击者可通过恶意仓库中的.mcp.json与.claude/settings.json配置文件，在Claude Code初始化过程中触发Shell命令执行。该漏洞与Model Context Protocol（MCP）的集成机制有关，攻击者可通过设置enableAllProjectMcpServers参数，使项目定义的MCP服务器在未经用户同意的情况下被启用，进而调用外部工具或服务。

图片来自Check Point

第三项漏洞为信息泄露漏洞CVE-2026-21852，CVSS风险评分为5.3，属于中等风险（Medium）。Anthropic在安全公告中指出，该漏洞出现在Claude Code加载项目的初始化流程中。若恶意仓库在配置文件中将ANTHROPIC_BASE_URL指向攻击者控制的服务器，Claude Code可能在显示信任提示前就发送API请求，导致用户的API密钥被发送至攻击者控制的基础设施。

在此情况下，开发者只需打开经过恶意构造的代码仓库，攻击者就可能拦截API请求并获取有效凭证。获取API密钥后，攻击者可进一步访问AI服务资源，例如读取共享项目文件、修改或删除云端数据、上传恶意内容，甚至通过大量API请求耗尽账户配额，造成额外费用或服务中断。

Anthropic在收到漏洞报告后已完成修复，并建议用户将Claude Code更新至2.0.65版或更高版本。

AI开发工具环境下，项目配置文件成为新的供应链攻击入口

Check Point指出，随着AI编程助手逐步具备自动执行命令、集成外部服务与发送网络请求等能力，项目配置文件在开发环境中的角色正在发生变化。过去这类配置主要用于描述开发环境或工具设置，但在AI工具高度自动化的场景下，相关配置可能直接影响程序执行行为。

研究人员表示，这也意味着开发环境的威胁模型正在转变。过去开发者主要关注是否运行不可信的代码，但在AI驱动的开发流程中，仅打开不可信的项目就可能触发攻击，使项目配置文件与自动化机制逐渐成为新的供应链风险来源，也让代码仓库本身成为潜在的攻击入口。