据 4 月 7 日最新消息，安全研究机构Adversa AI在对此前意外泄露的Claude Code源代码进行深度审查时，发现了一个足以令开发者背脊发凉的致命高危漏洞：当该工具处理超过 50 条子命令的复合命令时，会静默绕过用户设置的所有安全过滤规则。

漏洞复现：第 51 条命令是“隐身”的恶意代码

Claude Code作为Anthropic旗下增长最快的 AI 编程助手，允许开发者通过命令行直接管理代码库。为了防止敏感数据外泄，系统内置了权限校验（如禁止执行 curl 或 rm）。然而，研究人员发现：

• 静默绕过： 如果攻击者在一串命令中通过 && 或 ; 连接超过 50 个子命令，Claude Code将不再对后续命令进行逐一审查。

• 攻击路径： 攻击者只需构造一个包含恶意 CLAUDE.md 文件的开源仓库，诱导开发者运行。AI 可能会在前 50 条生成无害命令，而在第 51 条植入窃取 SSH 密钥或 API Token 的指令，系统将直接默认放行。

祸起“优化”：为了 UI 不卡顿而降级的安全性

令人唏嘘的是，这一漏洞的产生并非技术无能，而是源于一次“性能妥协”。

• 内部工单记录： Anthropic内部编号为 CC-643 的工单显示，工程师发现对超长复合命令进行逐条安全分析会导致 UI 界面卡顿。

• 假设破裂： 开发团队当时认为正常用户不会输入 50 多条子命令，因此将 50 设为分析上限，超出部分回退到“询问用户”模式。然而，他们忽略了 AI 提示词注入攻击可以轻易突破这一人类行为假设。

讽刺现实：修复方案曾被“锁”在仓库里

Adversa AI的报告指出，Anthropic实际上早已开发出一套基于 tree-sitter 的新型解析器，无论命令多长都能正确校验安全规则。这套成熟的代码就躺在源码仓库中并经过了测试，但出于某种原因，从未被应用到实际交付给客户的生产版本中。

风险评估：影响 50 万开发者，年营收 25 亿美元的“安全网”现洞

目前，该漏洞已波及超过 50 万名开发者。作为Anthropic产生的年经常性收入达 25 亿美元（约 172.3 亿元人民币）的核心产品，权限系统的失效意味着企业安全团队建立的最后一道防线已然崩塌。

最新进展：官方已紧急修复

值得庆幸的是，在源码泄露事件引发的这波“全民审计”压力下，Anthropic已于 4 月 4 日发布了Claude Code v2.1.90版本。官方在公告中将此修复描述为“解析失败回退导致的 deny rules 降级”，目前该漏洞已被正式堵上。

安全建议：

研究团队提醒广大开发者，不要过度依赖 AI 工具自带的拒绝规则作为唯一的安全边界。在使用Claude Code运行任何未知仓库前，请务必审计 CLAUDE.md 文件，并将其 Shell 访问权限限制在最小必要范围内。