最諷刺的漏洞！Anthropic早有解方卻未上線，50萬開發者因「效能考量」暴露致命風險

Anthropic 旗下終端 AI 編程助手 Claude Code 在上月原始碼意外外洩後，安全研究公司 Adversa AI 對這批程式碼進行逆向審查，很快就挖出第一個高危漏洞，令超過 50 萬名開發者暴露在實際可操作的攻擊路徑之下。更令人玩味的是，Anthropic 其實早有修復方案，程式碼就放在同一個倉庫裡，只是從未被用到上線版本。

源碼外洩開啟潘朵拉的盒子，第一個漏洞隨即現形

3 月 31 日，Anthropic 意外公開了 Claude Code 大部分原始碼，隨後雖積極壓制擴散，但 Adversa AI 的研究人員已完成審查並找到一個致命缺陷：當 Claude Code 處理超過 50 個子命令組成的複合指令時，會靜默略過開發者設定的拒絕規則（deny rules）。

舉個具體例子：開發者設定了「永遠不執行 rm」的安全規則，單獨呼叫 rm 確實會被攔截，但只要在 rm 前面串接 50 條正常指令（例如 50 個 true 指令），Claude Code 就會直接跳過安全審查、照單全收執行 rm。

漏洞位於 bashPermissions.ts 檔案的第 2162 至 2178 行。正常情況下，開發者可以在 Claude Code 中設定「禁止執行 curl」或「禁止執行 wget」等規則來防止資料外洩，但只要一條 shell 指令透過 &&、|| 或 ; 串接超過 50 個子指令，Claude Code 就會完全跳過逐條安全分析，包括這些防護規則。

為了省 Token 省 UI 效能，安全邊界就這樣悄悄開了缺口

Anthropic 內部工單 CC-643 揭露了這個設計決策的來龍去脈：針對複合指令中每個子命令逐一進行安全規則分析，會導致介面卡頓，影響使用體驗。工程師因此將分析上限設為 50 個子命令，超出部分改為「詢問使用者」模式。

程式碼注釋當時這樣寫道：「50 條已經很寬裕了，正常使用者不會把指令拆得這麼散。超出上限後我們回退到詢問模式，這是安全預設行為，因為我們無法確認是否安全，所以提示使用者。」

這個假設對人類手動輸入的指令確實成立——開發者鮮少會手動串接 50 條以上的命令。問題是，沒有人考慮到 AI 提示詞注入攻擊（prompt injection）的情境：惡意的開源專案檔案可以引導 AI 自動生成一條看似正常的超長指令鏈，把惡意載荷藏在第 51 個位置之後。

影響 50 萬名開發者，SSH 金鑰、雲端憑證、API Token 全都在射程內

這個漏洞影響的範圍估計超過 50 萬名開發者，攻擊路徑極其直接：只要一個精心構造的開源程式庫，就能竊取 SSH 金鑰、雲端服務憑證和 API Token。對企業安全團隊而言，這等於是他們用來管理 AI 工具 shell 存取權限的核心機制在悄無聲息中形同虛設，而開發者自己毫不知情。

最具諷刺意味的部分：Adversa AI 發現 Anthropic 早已研發出正確的解決方案——他們新開發的 tree-sitter 解析器無論指令長短都能正確執行安全規則。程式碼已寫好、已測試完成，就放在同一個倉庫裡，卻從未部署到交付給用戶的產品版本中。

漏洞已修復，但後續還有更多發現

好消息是，根據 4 月 4 日的官方公告，Anthropic 在 Claude Code v2.1.90 中解決了這個問題，官方將其稱為「解析失敗回退導致的 deny rules 降級」問題。

Adversa AI 研究團隊指出，這份報告只是第一篇，也是他們認為最關鍵的一個發現；對外洩原始碼的完整分析仍在進行中，後續將有更多揭露。

研究人員同時給出緊急建議：在確認環境安全之前，不應將 deny rules 當作可信的安全邊界；應限制 Claude Code 的 shell 存取範圍至最小必要權限；監控開發者工作站的異常對外連線；並在執行 Claude Code 前先審查任何程式庫中的 CLAUDE.md 檔案。

Claude Code 是 Anthropic 目前成長最快的產品，據估計年度訂閱收入已達 25 億美元（約新台幣 812.5 億元）。這個漏洞的核心問題，說穿了是一個古老的工程取捨——效能優化踩到了安全邊界。

更值得警惕的是：這次的攻擊向量不是技術層面難以防禦的零時差漏洞，而是 AI 工具被 AI 攻擊、以機器速度生成超出人類預設閾值的指令序列。隨著 AI Coding 工具在企業開發環境中取得愈來愈深的 shell 存取權限，這類「安全邊界靜默失效」的風險只會增加，不會減少。Anthropic 能快速修補是好事，但整個產業對 AI Agent 安全架構的系統性思考，顯然還遠遠沒有跟上部署速度。