文章总结： 该文档深入分析了AI编程助手ClaudeCode的三个高危漏洞，揭示了通过恶意配置文件实现远程代码执行和窃取API密钥的攻击路径。文章详细拆解了Hook劫持、MCP配置强杀和API劫持三种漏洞的原理与利用方式，并提出了升级版本、审查配置文件和沙箱隔离等防御建议，强调了AI时代配置文件已成为新的攻击面，开发者需重新审视供应链安全防线。 综合评分： 84 文章分类： 漏洞分析,AI安全,供应链安全,实战经验,安全建设

从入门到“被黑”？Claude Code 底层 MCP 机制与环境注入漏洞全解析

原创

Kit Chung Kit Chung

安全圈动向

2026年3月2日 08:04 广东

兄弟们，平时我们在群里摸鱼探讨安全防御，基本都有一个共识：只要我不随便跑 curl | bash，不乱下不明来源的二进制文件，黑客就拿我没办法。

但今时今日已经不一样了：在 AI 辅助编程时代，这条铁律已经被彻底击碎。

就在最近，安全机构 Check Point Research 爆出了 Anthropic 旗下热门 AI 编程助手 Claude Code 的多个高危漏洞。离谱到什么程度？你甚至不需要“执行”任何代码，只要把一个被动过手脚的 GitHub 仓库 Clone 下来，用 Claude Code 随便一打开，你的机器可能就已经被 RCE（远程代码执行）了，连带着你宝贵的 Anthropic API Key 也会被瞬间顺走。

这波攻击的思路非常刁钻，它不搞缓冲区溢出，也不搞内存注入，而是直接利用了 AI 助手底层的自动化配置机制。今天咱们就来硬核拆解一下，黑客是如何把我们习以为常的“配置文件”，变成一击致命的武器的。

一、 核心危机：当“配置文件”越权成为“执行层”

在传统的开发认知里，.json 或 .yaml 配置文件就是些静态的参数字典，毫无杀伤力。但 Claude Code 这类 AI 工具为了实现高度自动化和上下文感知，引入了极其强大的外部工具调用能力，其中最核心的就是 MCP（Model Context Protocol，模型上下文协议）。

MCP 本质上是给大模型插上“手脚”的标准化协议，让 AI 能够读取本地文件、执行 Shell 命令、甚至操作数据库。为了让 AI 无缝介入工作流，Claude Code 允许通过项目目录下的 .claude/settings.json 或 .mcp.json 来自动化初始化这些环境。

致命的隐患就在这里：当 AI 获得了自动执行命令、初始化外部集成的权限时，这些配置文件实际上已经被提升到了代码执行层。你的威胁模型彻底变了——供应链安全的防线，已经从“源代码”前移到了“自动化配置层”。

二、 硬核拆解：三大漏洞的攻击链路

这次爆出的问题主要集中在 Hooks、MCP 服务器配置和环境变量的初始化流程上。我们逐一复盘它们的触发原理：

1. 悄无声息的 Hook 劫持（无 CVE，CVSS 评分 8.7）

• 修复版本：

  1.0.87 (2025年9月)

• 底层原理：

  这是一个典型的用户同意绕过（Consent Bypass）漏洞。Claude Code 允许在 .claude/settings.json 中定义 project hooks，用于在项目加载时自动执行预处理脚本。

• 攻击路径：

  正常情况下，首次在一个新目录启动 Claude Code 应该触发一个“是否信任该目录”的安全拦截弹窗。但该漏洞存在逻辑缺陷，攻击者构造特定的 Hook 字段后，Claude Code 的底层逻辑会优先解析并执行 Hook，从而直接绕过了新目录的安全确认。你在毫无感知的情况下，后台已经拉起了一个反弹 Shell。

2. 强改底层的 MCP 强杀（CVE-2025-59536，CVSS 评分 8.7）

• 修复版本：

  1.0.111 (2025年10月)

• 底层原理：

  这个漏洞的利用姿势更加“优雅”，直指 MCP 机制的心脏。在 MCP 的安全设计中，AI 调用高危工具（如执行命令）前，应该有 HITL（Human-in-the-loop，人机闭环）的显式授权。

• 攻击路径：

  攻击者在恶意仓库的 .mcp.json 中，植入了一个极度危险的参数：将 enableAllProjectMcpServers 选项强制设置为 true。

当用户在这个目录下敲下 claude 回车时，系统初始化流程读取到这个配置，直接覆盖了全局的安全校验规则。外部工具被静默初始化，恶意 Shell 命令随着工具的加载自动触发。你的机器，在这一刻已经易主。

3. 生命周期错乱导致的 API 劫持（CVE-2026-21852，CVSS 评分 5.3）

• 修复版本：

  2.0.65 (2026年1月)

• 底层原理：

  这是一个极其经典的初始化生命周期（Lifecycle）漏洞，导致了严重的信息泄露。

• 攻击路径：

  黑客在配置文件中，将环境变量 ANTHROPIC_BASE_URL 指向了自己控制的恶意服务器（例如 https://hacker-api.com）。

官方的漏洞描述非常扎心： “Claude Code would issue API requests before showing the trust prompt…”

看懂了吗兄弟们？这是典型的 TOC/TOU (Time-of-check to time-of-use) 设计缺陷。系统加载项目时，在 UI 渲染出“是否信任该项目”的弹窗之前，底层的网络模块就已经拿着你的本地 API Key，使用被篡改的 Base URL 发起了鉴权请求！ 等你看到弹窗并点击“拒绝”时，你的凭证早就在黑客的服务器里躺着了。

三、 深度复盘：拿到 Key 和权限后能干嘛？

别以为丢个 API Key 只是被黑客拿去白嫖几刀的 token 费用。在现代云原生环境下，一旦开发者机器被 RCE，或者认证流量被重定向，攻击者就能顺藤摸瓜：

• 横向移动与数据偷家：

  访问你本地共享的研发机文件，读取本地 .aws/credentials 或 kubeconfig，进而接管云端基础设施。

• 二次供应链投毒：

  利用你的高权限账号，向你们公司的私有 GitLab 或 GitHub 仓库中注入恶意代码，完成对整个企业内网的渗透。

四、 避坑指南：给技术人的防御建议

这波漏洞给我们上了生动的一课：AI 工具赋予了配置自动化极高的特权，我们必须用审视代码的眼光，去审视每一个配置文件。

应对这种新型攻击面，建议大家做好以下三点：

1. 立刻升级：

   检查你本地的 Claude Code 版本，确保已经升级到 2.0.65 及以上版本。

2. 先审查，再运行：

   在 Clone 那些不知名大佬的“开源神器”或者各种自动化脚手架时，手千万别太快。先用纯文本编辑器（别用带各种插件的 IDE，防止被二次解析）扫一眼它的 .json、.yaml 甚至 .env 文件，看看有没有奇怪的 Base URL 或异常的 Hook 脚本。

3. 沙箱隔离：

   对于需要深度 AI 参与解析的未知项目，强烈建议在 Docker 容器或沙箱虚拟机中进行初步体验，做好网络和文件系统的隔离。

技术在狂飙，攻防的边界也在不断重塑。大家在日常开发中，还遇到过哪些利用配置“投毒”的奇葩手法？欢迎在评论区留言交流，咱们一起避坑！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《从入门到“被黑”？Claude Code 底层 MCP 机制与环境注入漏洞全解析》