Apa yang terjadi
Dalam Claude Code 0.2.54 hingga 2.1.162, hostname huggingface.co dipre-setujui secara global untuk alat WebFetch sebagai nama host bare, berarti jalur apa pun di domain itu — termasuk repositori model yang dikontrol penyerang — auto-disetujui tanpa prompt izin atau pembatasan --allowedTools. Penyerang yang dapat menyuntikkan konten ke dalam konteks Claude Code (misalnya melalui injeksi prompt dalam file kode atau repo) dapat mengarahkan Claude Code untuk mengambil file repo HuggingFace yang dikontrol penyerang, menciptakan saluran out-of-band terselubung untuk menjarah file, variabel lingkungan, dan keluaran perintah. CVSS 6.0 Medium dikonfirmasi via basis data pemberitahuan GitLab.
Mengapa penting
Ini adalah rantai injeksi prompt-ke-exfiltrasi novel khusus untuk agen koding AI: konten yang disuntikkan dalam file apa pun yang dibaca Claude Code dapat secara diam-diam menjarah rahasia ke repo HuggingFace penyerang (dilacak sebagai acara unduhan sisi server). Tidak ada interaksi pengguna yang diperlukan di luar Claude Code membaca file yang dikompromikan di direktori kerja.
Vektor serangan
Suntikkan muatan injeksi prompt ke dalam file apa pun yang akan dibaca Claude Code (misalnya file sumber, README, konfigurasi); muatan mengarahkan WebFetch ke jalur huggingface.co yang dikontrol penyerang, menjarah variabel lingkungan atau file melalui parameter URL yang dihitung sebagai acara unduhan HuggingFace
Sistem yang terdampak
Claude Code (npm @anthropic-ai/claude-code) 0.2.54 hingga 2.1.162
Mitigasi
Tingkatkan ke Claude Code 2.1.163+. Pengguna auto-update sudah diperbaiki. Pemberitahuan: https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm