Claude Code 爆「提示注入」漏洞，資安公司發現可輕鬆繞過安全限制

以色列資安公司 Adversa 近期在 Anthropic 旗下開發工具「Claude Code」外洩的原始碼中發現一項漏洞。

該公司發現，駭客只要輸入一長串子指令（subcommands），就能迫使 AI 忽略原先設定的安全拒絕規則，引發嚴重的「提示注入」（Prompt Injection）危機。

為避免 AI 執行危險操作，Claude Code 內建了存取控制機制，例如開發者可設定禁止 AI 使用易引發資安風險的 curl 指令。

但原始碼檔案 bashPermissions.ts 卻揭露了系統的一大致命傷，就是這個安全檢查設有「50 個子指令」的上限，一旦指令長度超過極限，AI 就不會直接阻擋危險指令，而是退化成「向使用者請求權限」。

Adversa 團隊指出，開發人員設定上限時，只考量了人類手輸指令的極限，卻忽略了惡意文件，例如 CLAUDE.md 等可輕易指示 AI 生成超長指令，他們的概念驗證（PoC）方式十分簡單粗暴，就是將 50 個無實際作用的「true」指令與一個被明令禁止的 curl 指令串接，結果 Claude Code 防線立刻崩潰，並未阻擋 curl，而是跳出授權視窗。

儘管此漏洞在開發者嚴密監控下可能被攔截，但實務上許多開發者為求方便會開啟自動允許模式，或在長時間工作中反射性的點擊同意，更危險的是，如果企業在非互動模式的 CI/CD 流水線中運行 Claude Code，這項漏洞將直接被觸發，讓惡意程式碼長驅直入。

尷尬的是從外洩原始碼中可知，Anthropic 內部已有「tree-sitter」解析器可處理這個問題，卻沒有實裝在公開版本。

Adversa 強調，修補此漏洞其實極為簡單，只需在程式碼中將超出上限的預設行為從「詢問（ask）」改為「拒絕（deny）」，一行的修改就能有效防堵，不過截至目前為止，Anthropic 尚未對這項漏洞發表正式回應。