資安公司 Adversa AI 揭露 Anthropic 旗下 AI 程式碼工具 Claude Code 存在一鍵遠端執行漏洞,使用者若未充分了解風險就點擊信任,恐釀資安危機,Anthropic 則將此歸因於使用者決策。
資安公司 Adversa AI 近期揭露,由 Anthropic 開發的人工智慧程式碼工具 Claude Code 存在一項「一鍵遠端程式碼執行」(one-click remote code execution, RCE)漏洞,該漏洞被命名為 TrustFall。此安全問題不僅影響 Claude Code,也可能波及 Gemini CLI、Cursor CLI 和 Copilot CLI 等其他人工智慧代理程式介面(agent CLIs)。
Adversa AI 指出,攻擊者可透過複製的程式碼儲存庫中內含的兩個 JSON 檔案(.mcp.json 和 .claude/settings.json),啟用由攻擊者控制的模型上下文協定(Model Context Protocol, MCP)伺服器。一旦開發者在 Claude Code 的「是,我信任此資料夾」對話框中按下「Enter」,該伺服器便會以未沙盒化的 Node.js 處理程序啟動,並擁有使用者的完整權限,且無需額外的伺服器許可或 Claude 工具呼叫。
Adversa AI 聯合創辦人 Alex Polyakov 表示:「這是 Claude Code 六個月內,第三個源自相同根本原因(將專案範圍設定作為注入載體)的 CVE(通用漏洞披露編號)。」他補充道,雖然每個漏洞都會被單獨修補,但底層的問題尚未獲得根本解決。Polykov 進一步說明,大多數開發者不知道這些設定的存在,更遑論經複製的程式碼儲存庫能悄無聲息地設定它們。
Anthropic 則認為,由於使用者在遇到對話框時選擇了信任,因此此問題超出了其威脅模型的範圍。這與先前的 CVE-2025-59536 不同,後者會在使用惡意目錄啟動 Claude Code 時自動觸發,被視為漏洞。然而,Adversa AI 的 Sergey Malenkovich 反駁,使用者在當前設計下並未獲得充分的知情同意。
Malenkovich 提到,在 Claude Code CLI v2.1 版本之前,對話框會明確警告 .mcp.json 可能執行程式碼,並提供「在 MCP 伺服器停用狀態下繼續」的選項。然而,v2.1 之後移除了這種「知情同意」的使用者體驗,目前的對話框預設為「是,我信任此資料夾」,沒有明確提及 MCP 相關語言,也未列出將啟動的可執行檔,更缺乏在維持其他信任授予的同時,排除 MCP 的選項。
Adversa AI 建議 Anthropic 應採取三項措施:首先,禁止專案內設定檔啟用 enableAllProjectMcpServers、enabledMcpjsonServers 和 permissions.allow 等危險設定;其次,實施專用的 MCP 同意對話框,並預設為「拒絕」;最後,針對每個伺服器而非所有伺服器,要求互動式同意。截至目前為止,Anthropic 未對此請求發表評論。