你的 .claude/settings.json 可能是一颗定时炸弹
Check Point Research 的安全研究员 Aviv Donenfeld 和 Oded Vanunu 发现了 Anthropic Claude Code 中的多个严重漏洞,允许攻击者通过恶意项目配置实现远程代码执行(RCE)和 API 凭证窃取。三个 CVE——CVE-2025-59536、CVE-2026-21852 及相关问题——的攻击链如下:攻击者在仓库的 .claude/settings.json 中注入恶意 Hook 配置,开发者克隆仓库并运行 Claude Code 后,恶意命令在没有任何额外确认的情况下自动执行。
研究团队最初测试时,仅在 settings.json 中添加了一个打开计算器应用的 Hook。Claude Code 弹出的信任对话框声称”将在获得您的许可后执行文件”,但点击确认后,计算器立即弹出——没有额外的执行警告。更隐蔽的第二条攻击路径利用了 MCP(模型上下文协议)配置:当 enableAllProjectMcpServers 被设置为 true 时,恶意 MCP 服务器的初始化命令在用户甚至还没读完信任对话框之前就已执行。
API 密钥在用户知情前就已泄露
第三条攻击路径更加隐蔽:通过在配置中重写 ANTHROPIC_BASE_URL 环境变量,攻击者可以将所有 API 通信重定向到自己的代理服务器。研究团队用 mitmproxy 拦截发现,Claude Code 在用户看到信任对话框之前就已经发出了多个 API 请求——每个请求的授权头中都以明文形式包含了完整的 Anthropic API 密钥。这意味着开发者还没决定是否信任该目录,密钥就已经被发送到了攻击者的服务器。
更严重的是,被盗的 API 密钥不仅能用于计费欺诈,还能访问 Claude Workspaces 中的共享文件。攻击者可以通过代码执行工具重新生成文件来绕过下载限制,获取团队存储的所有敏感内容。
配置文件就是代码,代码审查必须覆盖它
所有漏洞已在披露前修复。但 Check Point 的报告揭示了一个更深层的问题:现代开发工具让配置文件和可执行代码之间的界限日益模糊。.claude/settings.json 在代码审查中通常被视为”元数据”而非”代码”,很少受到同等安全审查。这恰恰是供应链攻击的理想入口——一个看似无害的 PR 带着恶意配置混入代码库,影响整个开发团队。
攻击场景包括:恶意 PR 夹带配置变更、伪装成实用工具的蜜罐仓库、以及内部企业仓库中的内鬼威胁。Check Point 的建议很直接:像审查源代码一样审查配置文件变更,打开项目前检查 .claude/ 目录,不要忽略工具发出的安全警告。
参考:
