事件经过
CVE-2026-46406 (CVSS 6.1 中等) 影响 Claude Code 版本 2.1.59 至 2.1.127。/copy 命令将 AI 响应写入硬编码的可预测路径 (/tmp/claude/response.md),具有世界可读的权限 (0644) 在世界可遍历目录 (0755) 中,没有 UID 隔离、随机性或符号链接保护。任何本地无特权用户都可以 (1) 被动读取文件以获取特权用户 Claude 会话中的机密,或 (2) 在该路径上预先创建符号链接以导致特权 Claude Code 进程使用响应内容覆盖攻击者选择的文件。发布于 2026-06-29。
影响分析
在 AI/代理开发工作流中,Claude Code 会话经常包含 API 密钥、基础设施机密、数据库凭证和专有代码。在多用户开发环境、CI 运行程序和容器化 AI 管道中,其中多个进程共享 /tmp,符号链接攻击允许任何共租户使用 AI 生成的内容破坏关键文件(shell 配置、基础设施配置、部署脚本)。
攻击途径
本地无特权攻击者在 /tmp/claude/response.md 上预先创建符号链接到目标文件(例如 ~/.bashrc、Terraform 配置)。当特权用户在 Claude Code 中运行 /copy 命令时,进程跟随符号链接并使用 AI 响应内容覆盖目标。
受影响系统
@anthropic-ai/claude-code 2.1.59 – 2.1.127
缓解措施
将 @anthropic-ai/claude-code 更新到版本 2.1.128 或更高版本。已启用自动更新的用户已收到此修复。公告:GHSA-4vp2-6q8c-pvq2。