事件经过
Claude Code 预批准 huggingface.co 作为其 WebFetch 工具的受信任裸主机名,意味着该域下的任何路径 — 包括攻击者控制的模型仓库 — 都会自动获取,无需权限提示或内容政策检查。能够发布或修改 HuggingFace 仓库的攻击者可以嵌入提示注入指令,Claude Code 将在开发人员的代理会话中无声地执行。
影响分析
HuggingFace 是 AI 模型分发的主要中心,具有数百万个公共仓库。开发人员经常指导 Claude Code 从 HuggingFace 获取模型卡和文档。这种信任误配置将每个公共 HuggingFace 仓库转变为 Claude Code 用户的潜在提示注入向量 — 对 AI 编码代理本身的供应链风格攻击。
攻击途径
攻击者发布恶意 HuggingFace 模型仓库,在模型卡或 README 文件中包含提示注入有效负载;Claude Code 自动批准对 huggingface.co 的任何获取,无需权限提示,因此注入的内容被无声地消费并可以重定向代理操作
受影响系统
Anthropic Claude Code 0.2.54 – 2.1.162
缓解措施
升级至 Claude Code 2.1.163 或更高版本。公告:https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm