Claude Code 未驗證即執行 GitHub 倉庫隱藏惡意軟體,攻擊者可完全控制開發者機器
Decision Brief
變化Mozilla 0DIN 平台安全研究人員展示,單一受損 GitHub 倉庫可在 Claude Code 等 AI 編碼工具執行設置時接管開發者機器。
為什麼重要此問題直接影響 AI builder 使用工具時的安全性,突顯 AI 編碼工具缺乏對第三方代碼的驗證機制。
誰該關注AI coding 工具使用者
受影響技術棧Claude Code
建議動作評估
來源可信度中 · 可靠媒體或一手報導
Mozilla 0DIN 平台的安全研究人員發現,Claude Code 在執行 GitHub 倉庫設置時會不加驗證地載入隱藏惡意軟體。惡意代碼只在運行時透過 DNS 查詢載入,對倉庫、掃描器和 AI 代理本身均不可見。攻擊者能藉此完全控制開發者機器。
摘要依據:官方/RSS 來源如果不是「已讀全文」,這條詳摘只基於公開可取得內容,不會假裝讀過受限原文。
來源
- The Decoder:AI News
- The Decoder:AI News