3月30日，BeyondTrust 证明了一个精心构造的 GitHub 分支名可以窃取 Codex 的 OAuth 令牌（明文）。OpenAI 将其列为 P1 级严重漏洞。两天后，Anthropic 的 Claude Code 源代码泄露至公共 npm 注册表，数小时内，Adversa 发现当命令超过 50 个子命令时，Claude Code 会静默忽略自身的拒绝规则。这并非孤立的错误，而是过去九个月来的最新案例：六个研究团队披露了针对 Codex、Claude Code、Copilot 和 Vertex AI 的漏洞利用，且所有攻击都遵循同一模式。AI 编程代理持有凭证，执行操作，并在没有人工会话锚定的情况下向生产系统进行身份验证。

这一攻击面最早在 Black Hat USA 2025 上由 Zenity CTO Michael Bargury 演示，他在台上通过 Jira MCP 零点击劫持了 ChatGPT、Microsoft Copilot Studio、Google Gemini、Salesforce Einstein 和 Cursor。九个月后，攻击者瞄准的正是这些凭证。

Enkrypt AI CSO、前 AWS 副首席信息安全官 Merritt Baer 在接受 VentureBeat 采访时指出了这一失败原因。她表示：“企业认为他们‘批准’了 AI 供应商，但实际上批准的只是一个界面，而非底层系统。”界面下的凭证才是泄露的根源。

Codex：通过分支名窃取 GitHub 令牌

BeyondTrust 研究员 Tyler Jespersen 与 Fletcher Davis 和 Simon Stewart 发现，Codex 在克隆仓库时使用嵌入在 git 远程 URL 中的 GitHub OAuth 令牌。克隆期间，分支名参数未经过滤直接进入设置脚本。通过分号和反引号子Shell，分支名变成了数据窃取载荷。

Stewart 增加了隐蔽性。通过在“main”后附加 94 个表意空格字符（Unicode U+3000），恶意分支在 Codex 网页门户中看起来与标准 main 分支完全一致。开发者看到的是“main”，而 Shell 看到的是正在窃取令牌的 curl 指令。OpenAI 将其列为 P1 级严重漏洞，并于 2026 年 2 月 5 日发布了完全修复方案。

Claude Code：两个 CVE 漏洞与 50 子命令绕过打破沙盒

CVE-2026-25723 击中了 Claude Code 的文件写入限制。由于未验证命令链接，通过管道传输的 sed 和 echo 命令逃逸了项目沙盒。该漏洞已在 2.0.55 版本中修复。

CVE-2026-33068 更为隐蔽。Claude Code 在显示工作区信任对话框之前就从 .claude/settings.json 解析权限模式。恶意仓库可以将 permissions.defaultMode 设置为 bypassPermissions，导致信任提示从未出现。该漏洞已在 2.1.53 版本中修复。

最后被发现的是 50 子命令绕过漏洞。Adversa 发现，一旦命令超过 50 个子命令，Claude Code 就会停止执行拒绝规则。Anthropic 的工程师为了速度牺牲了安全性，在第五十次检查后停止了验证。该漏洞已在 2.1.90 版本中修复。

原文链接：https://venturebeat.com/security/six-exploits-broke-ai-coding-agents-iam-never-saw-them

关注微信号：智享开源 ，可及时获取信息

谷歌Gemini AI助手即将登陆数百万辆汽车

获FDA批准，BioticsAI如何打造AI超声检测助手

OpenAI推ChatGPT高级安全功能：联手Yubico引入硬件密钥保护

Stripe推出Link数字钱包：支持AI代理安全支付

TikTok 推出“校园中心”功能：新增大学群聊和专属动态流

Writer推出无需指令的自主AI智能体，直面亚马逊与微软竞争