技术说明
Claude Code将MCP配置和OAuth令牌存储在~/.claude.json中,但缺乏充分的完整性保护。能够安装恶意npm包或修改配置文件的攻击者可以将MCP流量重定向通过攻击者控制的基础设施,拦截OAuth令牌,这些令牌可广泛访问连接的SaaS平台(GitHub、Slack、Google Workspace等)。
攻击途径
攻击者在配置了动态授权MCP服务器的Claude Code开发机器上安装定制的npm包,或直接修改~/.claude.json。MCP流量通过攻击者基础设施重定向,采用经典的MITM模式。被盗令牌在初始入侵后仍然有效,使攻击者能够长期访问连接的服务。
受影响系统
使用基于动态OAuth的MCP服务器的Claude Code。使用静态API密钥或本地范围MCP服务器的系统不受影响。该问题由Mitiga Labs于2026年5月7日披露。
缓解措施
立即轮换Claude Code MCP服务器使用的所有OAuth令牌。对~/.claude.json实施文件完整性监控。限制npm包安装来源。审计MCP服务器配置是否存在意外的代理或端点更改。Anthropic尚未发布补丁;请监控官方渠道获取修复指导。