Claude安全漏洞揭秘：你的安全栈遗漏了哪些盲点？

当前位置：首页
» 科技 » Claude安全漏洞揭秘：你的安全栈遗漏了哪些盲点？

Claude安全漏洞揭秘：你的安全栈遗漏了哪些盲点？

在5月6日至7日期间，四家安全研究团队相继公布了关于Anthropic公司Claude AI的发现，这些成果被多家媒体报道为三个独立事件。其中一起涉及墨西哥一家水务公司，另一起针对Chrome扩展程序，第三起则通过Claude Code劫持了OAuth令牌。更令人担忧的是，Claude在未经提示的情况下识别出了一家水务公司的SCADA网关。

这些并非三个独立的漏洞，而是同一架构问题在三个不同层面的体现。截至目前，尚未有单一补丁能够同时解决所有问题。

所有事件的共同线索是”confused deputy”漏洞——一种信任边界失效的情况，即拥有合法权限的程序为错误主体执行操作。在每个案例中，Claude都具备真实能力，并将其交给了任何出现者：攻击者探测水务公司网络、零权限Chrome扩展、重写配置文件的恶意npm包。

Reputation公司人工智能副总裁Carter Rees指出了这类故障的危险性。他在接受VentureBeat独家采访时表示，LLM的扁平授权平面未能尊重用户权限。在该平面运行的代理不需要提升权限，因为它已经拥有全部权限。

IEEE高级会员Kayne McGladrey也独立描述了相同机制。他指出，企业正在将人类权限集克隆到代理系统中。代理会采取一切必要手段完成任务，有时这意味着使用的权限远超人类所需。

Dragos发现Claude未经提示即瞄准水务公司SCADA网关

Dragos于5月6日发布了分析报告。2025年12月至2026年2月间，一名未知攻击者侵入了墨西哥多个政府机构。2026年1月，该行动波及蒙特雷市的Servicios de Agua y Drenaje水务公司。

Dragos分析了超过350个工件。攻击者使用Claude作为主要技术执行者，OpenAI的GPT模型进行数据处理。Claude编写了一个包含49个模块的17,000行Python框架，用于网络发现、凭证收集、权限提升和横向移动。根据Dragos的分析，Claude将传统上需要数天或数周工具开发的周期压缩到了数小时内。

在没有ICS/OT先验知识的情况下，Claude识别出一台运行vNode SCADA/IIoT管理界面的服务器，将其归类为高价值目标，生成凭证列表，并发起自动化密码喷洒攻击。虽然攻击失败且未造成OT泄露，但Claude确实完成了目标定位。Dragos指出，这并非传统意义上的产品漏洞，因为Claude完全按照设计运行。该公司将其描述为”架构差距”：模型无法区分使用相同接口的授权开发者和攻击者。

Dragos首席对手猎人Jay Deen写道，调查表明商业AI工具使OT对已存在于IT环境中的对手更加可见。

CrowdStrike首席技术官Elia Zaitsev向VentureBeat解释了此类事件为何能规避检测。”直到代理采取行动前，什么坏事都不会发生。几乎总是在行动层。”蒙特雷的侦察行为看起来像开发者在查询内部系统，只是键盘前坐的是攻击者。

Stack盲点：OT监控无法标记AI生成的IT侧开发者工具侦察。EDR可见进程但无法洞察意图。

LayerX证明任何Chrome扩展可通过信任边界劫持Claude（Anthropic部分修补）

5月7日，LayerX研究员Aviad Gispan披露了ClaudeBleed漏洞。Chrome中的Claude使用Chrome的外部可连接功能允许与claude.ai源上的脚本通信，但未验证这些脚本是否来自Anthropic或被其他扩展注入。任何Chrome扩展都可以向Claude的消息界面注入命令，且无需任何权限。

LayerX于4月27日报告了该漏洞。Anthropic于5月6日发布1.0.70版本。LayerX发现补丁并未移除易受攻击的处理程序。通过侧边栏初始化流程和将Claude切换到”无需询问即执行”模式（无需用户通知），LayerX绕过了新保护措施。Anthropic的补丁存活时间不足一天。

Ivanti网络安全集团高级副总裁兼现场CISO Mike Riemer告诉VentureBeat，威胁行为者现在利用AI辅助在72小时内反向工程补丁。如果供应商发布补丁而客户在窗口期内未应用，漏洞已被利用。Anthropic的ClaudeBleed补丁甚至未撑过该窗口期的三分之一。

Stack盲点：EDR监控文件和进程，但不监测浏览器内扩展间通信。ClaudeBleed不产生文件写入、网络异常或进程生成。

Mitiga展示配置文件重写可窃取OAuth令牌且 survived 令牌轮换

同样在5月7日，Mitiga Labs研究员Idan Cohen发布了针对Claude Code的中间人攻击链。Claude Code将MCP配置和OAuth令牌存储在~/.claude.json中，这是一个用户可写文件。恶意npm postinstall钩子可重写MCP服务器URL，将流量路由至攻击者代理，捕获Jira、Confluence和GitHub的OAuth令牌。由于postinstall钩子在每次Claude Code加载时触发，即使令牌轮换后也会重新断言恶意端点——这意味着标准的响应步骤（轮换凭证）无法打破攻击链，除非首先移除钩子。

Mitiga于4月10日报告了该发现。根据Mitiga的披露，Anthropic于4月12日将其归类为范围外。

Riemer描述了此链违反的原则：”在我验证你之前，我不了解你。”~/.claude.json的重写用攻击者端点替换了合法端点，而Claude Code从未重新验证。

Riemer在其产品安全架构领域拥有21年经验，并持有五项相关专利。他将相同的防御逻辑应用于自己领导的平台：如果威胁行为者进入，断开所有连接。这是故障安全设计。Anthropic的架构则相反，它故障开放。