Apa yang terjadi
Claude Code pre-approved huggingface.co sebagai hostname bare yang terpercaya untuk alat WebFetch-nya, artinya setiap path di bawah domain tersebut — termasuk repositori model yang dikontrol penyerang — di-auto-fetch tanpa prompt permisi atau pemeriksaan kebijakan konten. Penyerang yang dapat menerbitkan atau memodifikasi repositori HuggingFace dapat menanamkan instruksi prompt injection yang akan Claude Code jalankan secara diam-diam dalam sesi agent pengembang.
Mengapa penting
HuggingFace adalah hub utama untuk distribusi model AI, dengan jutaan repositori publik. Pengembang secara rutin mengarahkan Claude Code untuk mengambil model cards dan dokumentasi dari HuggingFace. Misconfigurasi kepercayaan ini mengubah setiap repositori HuggingFace publik menjadi vektor prompt injection potensial terhadap pengguna Claude Code — serangan gaya supply-chain pada agent coding AI itu sendiri.
Vektor serangan
Penyerang menerbitkan repositori model HuggingFace berbahaya yang berisi payload prompt injection di model cards atau file README; Claude Code auto-approve setiap fetch ke huggingface.co tanpa prompt permisi, sehingga konten injeksi dikonsumsi secara diam-diam dan dapat mengalihkan tindakan agent
Sistem yang terdampak
Anthropic Claude Code 0.2.54 – 2.1.162
Mitigasi
Upgrade ke Claude Code 2.1.163 atau lebih baru. Advisory: https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm