何が起きたか
Claude Code 0.2.54から2.1.162では、ホスト名huggingface.coがWebFetchツールのベアホスト名として全体的に事前承認されていました。つまり、攻撃者が制御するモデルリポジトリを含むそのドメイン上の任意のパスが許可プロンプトなし、または--allowedTools制限なしで自動承認されました。攻撃者がClaude Codeコンテキストにコンテンツを挿入できる場合(例えばコードファイルまたはリポジトリでのプロンプト挿入経由)、Claude Codeに攻撃者が制御するHuggingFaceリポジトリファイルのフェッチを指示でき、ファイル、環境変数、コマンド出力を流出させる隠蔽帯域外チャネルを作成できます。CVSS 6.0 Medium(GitLab advisory databaseを通じて確認)。
なぜ重要か
これはAIコーディングエージェントに固有のノベルなプロンプト挿入-流出チェーンです。Claude Codeが読むあらゆるファイルに挿入されたコンテンツは、攻撃者のHuggingFaceリポジトリにシークレットを静かに流出させることができます(ダウンロードイベントとしてサーバー側で追跡)。Claude Codeが作業ディレクトリの危険なファイルを読む以上のユーザーインタラクションは必要ありません。
攻撃経路
Claude Codeが読むあらゆるファイル(例えばソースファイル、README、設定)にプロンプト挿入ペイロードを挿入。ペイロードがWebFetchを攻撃者が制御するhuggingface.coパスに指示し、URLパラメータを経由して環境変数またはファイルを流出させます(HuggingFaceダウンロードイベントとして計算)
影響を受けるシステム
Claude Code(npm @anthropic-ai/claude-code)0.2.54から2.1.162
緩和策
Claude Code 2.1.163以降にアップグレードしてください。自動更新されたユーザーはすでにパッチされています。Advisory: https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm