무슨 일이 있었나
Claude Code 0.2.54부터 2.1.162까지에서 호스트명 huggingface.co는 WebFetch 도구에 대해 전역적으로 사전 승인되었으며, 이는 공격자 제어 모델 저장소를 포함한 해당 도메인의 모든 경로가 권한 프롬프트 또는 --allowedTools 제한 없이 자동 승인되었음을 의미합니다. Claude Code 컨텍스트에 콘텐츠를 주입할 수 있는 공격자(예: 코드 파일 또는 저장소의 프롬프트 주입을 통해)는 Claude Code에 공격자 제어 HuggingFace 저장소 파일을 가져오도록 지시하여 파일, 환경 변수 및 명령 출력을 유출하는 비밀 대역 외 채널을 생성할 수 있습니다. CVSS 6.0 Medium은 GitLab 권고 데이터베이스를 통해 확인되었습니다.
왜 중요한가
이는 AI 코딩 에이전트에 특정한 새로운 프롬프트 주입 대 유출 체인입니다: Claude Code가 읽는 모든 파일의 주입된 콘텐츠는 자동으로 공격자의 HuggingFace 저장소로 시크릿을 유출할 수 있습니다(서버 측에서 다운로드 이벤트로 추적됨). Claude Code가 작업 디렉토리의 손상된 파일을 읽는 것 이상의 사용자 상호 작용은 필요하지 않습니다.
공격 경로
Claude Code가 읽을 모든 파일(예: 소스 파일, README, 구성)에 프롬프트 주입 페이로드를 주입합니다. 페이로드는 WebFetch를 공격자 제어 huggingface.co 경로로 지시하여 URL 매개변수를 통해 환경 변수 또는 파일을 유출합니다(HuggingFace 다운로드 이벤트로 계산됨).
영향받는 시스템
Claude Code (npm @anthropic-ai/claude-code) 0.2.54부터 2.1.162까지
완화 방안
Claude Code 2.1.163+로 업그레이드합니다. 자동 업데이트된 사용자는 이미 패치되었습니다. 권고: https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm