事件经过
Claude Code 版本 2.1.38 至 2.1.162 允许创建名为".git"的 git worktree 并导航到沙箱上下文之外的 worktree,从而启用 git 目录混乱攻击。恶意存储库可以将 CLAUDE.md 中的提示注入与攻击者控制的 git 配置相结合,使得 worktree 操作触发 core.fsmonitor 命令执行、跟随符号链接进入用户的主目录、以及覆盖 ~/.zshenv 等 shell 启动文件。由于 zsh 在 macOS seatbelt 限制应用于 Bash 工具负载之前会读取这些文件,攻击者代码即使在沙箱模式完全启用时也会在沙箱外运行。修复方案是拒绝".git"作为有效的 worktree 名称。
影响分析
这是一条提示注入到沙箱逃逸的攻击链:克隆恶意存储库并对其运行 Claude Code 的开发人员可能会导致其主机系统完全被攻击。该攻击绕过了只读权限模式和完整的 macOS seatbelt 沙箱,使攻击者对开发人员机器的 shell 启动文件获得持久控制。Claude Code 部署在数千个企业开发人员工作站上,这是一个影响范围广泛的供应链风险。
攻击途径
攻击者在存储库中植入恶意 CLAUDE.md(提示注入)和精心制作的 git 配置;当开发人员对其运行 Claude Code 时,worktree 操作触发 core.fsmonitor 执行、符号链接遍历进入主目录、以及覆盖 ~/.zshenv,在沙箱外执行代码。
受影响系统
@anthropic-ai/claude-code 2.1.38 – 2.1.162
缓解措施
升级到 @anthropic-ai/claude-code ≥ 2.1.163。自动更新的用户已自动获得修复。公告:https://github.com/anthropics/claude-code/security/advisories/GHSA-7835-87q9-rgvv