Claude Code被曝致命安全漏洞：50条指令后，AI自动放行恶意代码

近日，以色列安全公司Adversa披露了一项关于AI编程助手Claude Code的重大安全缺陷。研究人员发现，当用户一次性提交超过50个子命令时，系统内置的安全防护机制会自动失效——不是报错，也不是拒绝，而是“转为询问模式”，把风险直接抛给开发者。

问题的根源，藏在一个看似无害的代码常量里：系统内部设定了一个名为“最大安全检查子命令数”的硬编码阈值，上限固定为50。这意味着，只要攻击者构造出一条包含51条甚至500条指令的链式请求，Claude Code就会自动降低防护等级，从“直接拦截”变成“弹窗问你是否允许”。

黑客早已在暗处等待：一条恶意PR就能黑掉整个CI/CD

这听起来像是“用户太粗心”的问题，但实际风险远不止于此。

在真实开发场景中，攻击者只需在开源项目或公司内部代码库中悄悄提交一个“看起来正常”的Pull Request，里面嵌入一长串伪装成代码注释或工具链调用的指令。比如：

• 先生成一个看似无害的配置文件
• 再触发一个“自动格式化”命令
• 接着执行“安装依赖”
• 最后悄悄调用curl下载并执行远程脚本

只要指令总数超过50条，Claude Code就会弹出一个提示：“检测到多个敏感操作，是否允许执行？”——而90%的开发者在连续调试、赶工期、或习惯性地快速审批PR时，根本不会细看，直接点“是”。

更可怕的是，在自动化部署（CI/CD）环境中，系统通常以“无交互模式”运行。这意味着，一旦攻击代码被纳入流水线，AI将直接获得执行权限，无需任何人工确认。攻击者可借此窃取凭证、植入后门、甚至向公司内网横向移动。

Anthropic早有解决方案，却迟迟不更新

讽刺的是，Adversa团队指出，Anthropic内部早已开发出一套更先进的指令解析引擎，能动态分析命令意图而非简单计数，早已在内部测试中修复了该漏洞。但该修复版本至今未向公众开放。

更令人不安的是，当前版本的安全逻辑仍是“询问优先”，而非“默认拒绝”。这与现代安全最佳实践背道而驰——在代码生成场景中，任何未经明确验证的外部调用都应被默认拦截，而不是让用户自己承担风险。

专家紧急呼吁：立即停用，等待补丁

多位安全工程师在社交媒体上警告：如果你正在使用Claude Code进行代码审查、自动化脚本生成或CI/CD集成，请立即暂停使用，尤其是涉及敏感项目或企业内网的场景。

安全公司Synopsys的首席研究员李明指出：“这不是一个‘用户教育’问题，而是一个产品设计缺陷。AI助手不是助手，它现在是门卫，而门卫的钥匙被扔在地上。”

目前，Anthropic尚未发布官方补丁或公开回应。建议所有用户：

• 检查是否在使用Claude Code插件（如VS Code、JetBrains插件）
• 暂时禁用其“自动执行”和“批量处理”功能
• 对任何由AI生成的、包含多个外部调用的代码保持最高警惕
• 关注官方GitHub仓库或安全公告，等待明确修复说明

在AI工具日益渗透开发流程的今天，一个简单的数字限制，可能正成为企业安全防线上的巨大裂口。我们不能再把安全责任，交给一个会“疲劳点头”的AI。