一条Issue就够了沙箱有缝,读取无门AI编程的安全悖论这不是第一次,也不会是最后一次
微软研究人员发现,Anthropic 旗下的编程工具 Claude Code 有一个致命漏洞:攻击者只需要在 GitHub 上提交一条 Issue,就能通过提示词注入偷走你的 GitHub 凭证。
这不是理论推演,而是已经发生的现实。
微软威胁情报团队在监测公开代码库时,发现了针对 AI 辅助型 GitHub 工作流的提示词注入攻击尝试。随后他们启动调查,结果在 Claude Code 身上找到了一个让人后背发凉的安全缺口。
攻击方式比大多数人想象的都要简单。
提示词注入是 AI 领域最基础也最难根治的安全漏洞之一。攻击者在大模型处理的内容中嵌入误导性指令,让模型无视原有指令,转而去执行攻击者的意图。
微软研究人员发现,有攻击者把恶意指令藏在了 HTML 注释里。这些内容在 GitHub 的页面上完全不可见——普通用户打开 Issue 页面,看到的只是一个正常的功能需求描述。但 AI 模型读取的是原始 Markdown 源码,HTML 注释对它来说就是有效指令。
涉事的代码库当时正借助 GitHub 自动化流程来处理工单。攻击者不需要获得项目修改权限,不需要提交代码,什么都不用——只需要提交一条 Issue,就能诱骗 AI 机器人代为执行恶意操作。
零权限、零交互、零痕迹。
微软证实,这种攻击手段同样可以针对 Claude Code 的 GitHub 自动化流程。
Anthropic 并不是完全没有安全意识。在 Claude Code 中,部分高风险工具——比如可以在系统中执行命令的 Bash 工具——确实设置了沙箱防护。
但问题出在"部分"这两个字上。
微软发现,Claude 用于读取文件的工具并未受到同等安全限制。研究人员制作了提示词注入攻击载荷进行验证,恶意提示词成功绕过了两层防护,诱导 Claude Code 读取了存放 API 密钥和其他凭证的系统文件。
换句话说,AI 编程助手一边帮你写代码,一边可能把你的密钥发给攻击者。
这不是假设场景。微软在 4 月 29 日向 Anthropic 上报了该漏洞,Anthropic 于 5 月 5 日发布 Claude Code 2.1.128 版本完成修复——通过限制程序对 /proc/ 目录下敏感文件的访问来堵住漏洞。
从发现到修复,Anthropic 用了 6 天。
这个漏洞之所以值得关注,不只是因为它本身有多危险,而是它暴露了 AI 编程工具一个普遍存在的安全悖论。
AI 编程工具的卖点就是"帮你做更多事":读写文件、执行命令、操作 Git、管理凭证。能力越强,权限越大;权限越大,被滥用的后果越严重。
Claude Code 这次的漏洞属于典型的"工具能力与安全边界不匹配":Bash 工具被关进了沙箱,但读取工具没有——因为设计者可能默认"读文件有什么危险"。然而当提示词注入存在时,任何能被 AI 调用的工具都是潜在的攻击面。
更棘手的问题是,提示词注入本身几乎没有完美的防御方案。模型天生需要理解自然语言指令才能工作,而攻击者利用的恰恰是这种理解能力。你不可能让模型"读懂指令但别读恶意指令"——它分不清哪条指令来自开发者,哪条来自攻击者。
目前主流防御手段无非三种:输入净化、权限最小化、输出审查。每种都有用,但每种都不够用。
Claude Code 不是第一个出安全问题的 AI 编程工具,也绝不会是最后一个。
从 Copilot 到 Codex 到 Cursor,每一款 AI 编程工具都面临相似的挑战:如何在"足够有用"和"足够安全"之间找到平衡。过于保守,工具就废了;过于开放,漏洞就来了。
对于使用 AI 编程工具的开发者和团队,这次事件是一个明确的提醒:
第一,不要让 AI 编程工具直接操作生产环境的凭证和密钥。敏感信息应该通过专门的安全机制注入,而不是放在模型可以读取的文件里。
第二,CI/CD 流水线中接入 AI 工具时,需要重新评估信任模型。一条 Issue 就能触发凭证泄露,说明默认的安全假设已经过时。
第三,及时更新。Anthropic 已经在 2.1.128 版本中修复了这个问题,如果你的 Claude Code 还没更新,现在是时候了。
AI 编程工具正在成为开发流程中不可或缺的一环,但安全不应该成为它的后门。每一次漏洞曝光,都是行业在交学费——关键是,交了学费之后得学到点什么。
如果你在用 AI 编程工具,建议检查一下自己的安全配置。觉得有用的话,点个推荐、转发给身边的开发者朋友,安全这件事,多一个人知道就少一分风险。
热门跟贴