深潮 TechFlow 消息,7 月 18 日,慢雾创始人余弦转发 Claude Code 潜在投毒攻击风险推文,其中指出攻击者可能通过恶意项目配置文件,在用户不知情的情况下执行任意命令,进而窃取 API 密钥、云端凭证或控制本地设备。研究人员构造测试环境发现,在 Mac 系统中,如果 Claude Code 受到影响,执行特定测试命令后可触发本地计算器启动,证明存在潜在命令执行风险。若攻击成功,攻击者可能进一步窃取 Claude、OpenAI 等AI 服务 API Key 造成账户费用损失,获取 AWS、阿里云、腾讯云等云服务凭证访问服务器和数据,篡改代码仓库植入后门,利用本地设备作为跳板攻击企业内部网络。
添加收藏
分享社交媒体




