事件经过
在 Claude Code 0.2.54 至 2.1.162 中,主机名 huggingface.co 作为裸主机名在全局预批准用于 WebFetch 工具,意味着该域上的任何路径 — 包括攻击者控制的模型存储库 — 都被自动批准,无需权限提示或 --allowedTools 限制。攻击者可以将内容注入 Claude Code 上下文(例如通过代码文件或存储库中的提示注入)可以指导 Claude Code 获取攻击者控制的 HuggingFace 存储库文件,创建隐蔽的带外通道来窃取文件、环境变量和命令输出。CVSS 6.0 中等通过 GitLab 公告数据库确认。
影响分析
这是特定于 AI 编码代理的新颖提示注入到窃取链:Claude Code 读取的任何文件中的注入内容可以无声地将密钥窃取到攻击者的 HuggingFace 存储库(跟踪为服务器端的下载事件)。除了 Claude Code 读取工作目录中的被感染文件外,不需要用户交互。
攻击途径
将提示注入有效负载注入 Claude Code 将读取的任何文件(例如源文件、README、配置);有效负载指导 WebFetch 到攻击者控制的 huggingface.co 路径,通过作为 HuggingFace 下载事件计数的 URL 参数窃取环境变量或文件
受影响系统
Claude Code(npm @anthropic-ai/claude-code)0.2.54 至 2.1.162
缓解措施
升级到 Claude Code 2.1.163+。自动更新的用户已被修补。公告:https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm