技术说明
Cisco AI 威胁情报研究员 Amy Chang 于 2026 年 4 月 23 日披露,3 月份 Cisco 研究人员成功入侵了 Anthropic 的 Claude Code 的内存文件并保持持久化,有效感染了该 AI 编程助手的每个项目和会话。该攻击使用 Node Package Manager (NPM) 中的后安装钩子作为攻击向量来修改 Claude Code 的 memory.md 文件。虽然 Anthropic 已经缓解了该问题,但恶意添加到内存文件中的内容仍然难以检测,并且代表了需要持久上下文的代理系统中的一个根本弱点。
攻击途径
攻击者利用包管理器后安装钩子(例如 NPM postinstall 脚本)向 AI 代理的内存文件中注入恶意内容。由于内存文件在会话和项目之间保持持久化,单次成功的修改就能提供对代理上下文和决策制定的持续后门访问。该攻击具有隐蔽性,因为内存文件内容通常不被用户审查,并被代理隐式信任。
受影响系统
具有持久内存的 AI 编程助手(Claude Code、具有内存功能的 GitHub Copilot、类似的 IDE 集成)、使用 memory.md 或类似上下文持久化机制的代理 AI 系统,以及依赖包管理器钩子的开发者工具。
缓解措施
Anthropic 已为 Claude Code 实施了缓解措施。通用防御措施包括:扫描包管理器钩子以查找可疑的文件修改、对代理内存文件实施完整性检查、将代理内存存储与包管理器执行上下文隔离,以及对意外的内存文件修改发出警报。AI 安全厂商已开发了专门的工具来检测恶意内存注入。