AI编程助手正在重塑开发流程但伴随而来的安全盲区却鲜有人提及。Mitiga Labs最近披露的一项研究发现Claude Code存在一个足以让企业安全团队夜不能寐的漏洞——攻击者只需通过一枚看似无害的npm包就能悄无声息地截获开发者的OAuth凭证进而长期潜伏在Jira、Confluence、GitHub等核心SaaS平台内部。这个问题的棘手之处在于它并非依赖某个未公开的零日漏洞而是巧妙利用了Claude Code自身的工作机制。攻击链路清晰得令人不安且Anthropic方面已明确表示不会发布补丁。攻击的入口比想象中更平常整个故事的起点是开发者再熟悉不过的场景安装一个npm依赖包。Mitiga的研究人员演示了攻击者如何构造一个恶意npm包其内部嵌入了postinstall生命周期钩子。这个钩子在包安装时静默执行几乎不会触发常规安全检查。它的目标只有一个文件——位于用户主目录下的~/.claude.json。这个配置文件控制着Claude Code所有MCP流量的路由规则更致命的是OAuth令牌以明文形式存储其中。恶意钩子完成安装后会预先在开发者常用的项目克隆路径中植入信任标记将信任对话框强制设为true。这样一来Claude Code后续打开这些目录时完全不会弹出任何提示开发者几乎不可能察觉到异常。当开发者正常连接Atlassian或GitHub的MCP服务器时Claude Code会执行完整的OAuth授权流程。然而此时令牌已经落入了攻击者的口袋。OAuth令牌为何成了黄金门票被截获的持有者令牌之所以极具价值源于四个相互叠加的特性。持久化是头号麻烦。这些令牌并非一次性凭证它们附带刷新机制攻击者只需拦截一次就能在目标系统中维持长期访问。更夸张的是令牌继承的是授权时授予的全部权限无需每次调用时重新申请或缩小范围攻击面天然就很广。存储方式则暴露了根本性的设计缺陷。~/.claude.json以明文保存这些敏感凭证文件权限与普通配置文件无异任何能够读取该文件的角色都能直接拿走令牌。而在服务器端请求源IP来自Anthropic的出口地址段提供商端的审计日志看起来完全合法根本无法从流量层面区分正常调用与恶意调用。攻击链路拆解五步完成持久化入侵Mitiga将完整的攻击过程梳理为一条连贯的链路整个过程不需要提权、不需要内存破坏、更不需要新的CVE编号。恶意包通过npm生态进入开发者环境postinstall钩子随即在~/.claude.json中植入信任标志。紧接着攻击者写入一个sessionStart钩子确保每次Claude Code加载受信任项目时都会自动触发。这个钩子会将合法的MCP服务器URL替换成攻击者控制的本地代理地址。当Claude Code读取被篡改的配置并尝试连接时OAuth令牌便经由攻击者的基础设施完成传输。最阴险的是这个钩子会在每次会话启动时重新确认恶意配置即便受害者手动轮换过令牌下一次刷新依然会经过代理攻击者几乎能自动恢复访问。这里有一个反直觉的发现常规应急响应中的轮换OAuth令牌操作在这种场景下反而会帮攻击者的忙。因为sessionStart钩子会在每次会话前重写配置新的令牌生成后下一次OAuth刷新照样会流经代理服务器。真正的修复前提是在轮换凭证之前彻底移除钩子并清理配置文件。防御者审查Atlassian或GitHub的审计日志时看到的全是合法用户名、真实会话以及归属Anthropic出口IP范围的地址。所有字段都挑不出毛病唯一的异常藏在用户本地的~/.claude.json里——而大多数安全团队根本不会监控这个文件。Anthropic的回应暂无补丁计划Mitiga在2026年4月10日向Anthropic提交了完整报告。对方次日确认收到但于4月12日回复称该问题超出其工作范围理由是攻击成立的前提是用户事先给予了同意。截至目前官方没有发布任何补丁的计划。这意味着企业安全团队必须独自承担全部的检测与响应责任不能指望上游厂商在短期内提供修复。企业安全团队现在该做什么面对这种隐蔽且持续的威胁被动等待显然不是选项。安全团队需要尽快落地几项针对性控制措施。密切监控~/.claude.json的异常编辑尤其是mcpServers段落的URL变更以及本地代理地址的突然出现。npm安装后的生命周期脚本应当被视为头等供应链风险在包到达开发者终端之前就必须完成注册表层面的脚本审计。与Claude Code集成的OAuth令牌需要被纳入定期轮换计划但轮换之前务必确认恶意钩子已被清除否则只是给攻击者送新的令牌。SaaS审计日志中凡是来自Anthropic出口IP范围但与用户已知活动模式不符的请求都值得深挖。开发环境里新冒出来的本地代理进程或者意料之外的OAuth刷新行为都是值得立即告警的信号。使用Claude Code和MCP集成的组织建议立刻执行cat ~/.claude.json逐一核对mcpServers下列出的每个URL是否为自己亲手配置的、可识别的合法端点。如果发现任何陌生的本地地址或可疑域名应当立即隔离并展开溯源。AI辅助开发工具的便利性毋庸置疑但这项研究提醒我们当开发环境与核心生产系统的边界越来越模糊时供应链攻击的代价也在成倍放大。安全团队需要把目光从传统的网络边界延伸到开发者本地的每一个配置文件和每一次包安装行为。
Claude Code惊现高危供应链漏洞:npm恶意包可拦截OAuth令牌,企业SaaS平台面临持久化入侵风险
发布时间:2026/6/8 15:20:37
AI编程助手正在重塑开发流程但伴随而来的安全盲区却鲜有人提及。Mitiga Labs最近披露的一项研究发现Claude Code存在一个足以让企业安全团队夜不能寐的漏洞——攻击者只需通过一枚看似无害的npm包就能悄无声息地截获开发者的OAuth凭证进而长期潜伏在Jira、Confluence、GitHub等核心SaaS平台内部。这个问题的棘手之处在于它并非依赖某个未公开的零日漏洞而是巧妙利用了Claude Code自身的工作机制。攻击链路清晰得令人不安且Anthropic方面已明确表示不会发布补丁。攻击的入口比想象中更平常整个故事的起点是开发者再熟悉不过的场景安装一个npm依赖包。Mitiga的研究人员演示了攻击者如何构造一个恶意npm包其内部嵌入了postinstall生命周期钩子。这个钩子在包安装时静默执行几乎不会触发常规安全检查。它的目标只有一个文件——位于用户主目录下的~/.claude.json。这个配置文件控制着Claude Code所有MCP流量的路由规则更致命的是OAuth令牌以明文形式存储其中。恶意钩子完成安装后会预先在开发者常用的项目克隆路径中植入信任标记将信任对话框强制设为true。这样一来Claude Code后续打开这些目录时完全不会弹出任何提示开发者几乎不可能察觉到异常。当开发者正常连接Atlassian或GitHub的MCP服务器时Claude Code会执行完整的OAuth授权流程。然而此时令牌已经落入了攻击者的口袋。OAuth令牌为何成了黄金门票被截获的持有者令牌之所以极具价值源于四个相互叠加的特性。持久化是头号麻烦。这些令牌并非一次性凭证它们附带刷新机制攻击者只需拦截一次就能在目标系统中维持长期访问。更夸张的是令牌继承的是授权时授予的全部权限无需每次调用时重新申请或缩小范围攻击面天然就很广。存储方式则暴露了根本性的设计缺陷。~/.claude.json以明文保存这些敏感凭证文件权限与普通配置文件无异任何能够读取该文件的角色都能直接拿走令牌。而在服务器端请求源IP来自Anthropic的出口地址段提供商端的审计日志看起来完全合法根本无法从流量层面区分正常调用与恶意调用。攻击链路拆解五步完成持久化入侵Mitiga将完整的攻击过程梳理为一条连贯的链路整个过程不需要提权、不需要内存破坏、更不需要新的CVE编号。恶意包通过npm生态进入开发者环境postinstall钩子随即在~/.claude.json中植入信任标志。紧接着攻击者写入一个sessionStart钩子确保每次Claude Code加载受信任项目时都会自动触发。这个钩子会将合法的MCP服务器URL替换成攻击者控制的本地代理地址。当Claude Code读取被篡改的配置并尝试连接时OAuth令牌便经由攻击者的基础设施完成传输。最阴险的是这个钩子会在每次会话启动时重新确认恶意配置即便受害者手动轮换过令牌下一次刷新依然会经过代理攻击者几乎能自动恢复访问。这里有一个反直觉的发现常规应急响应中的轮换OAuth令牌操作在这种场景下反而会帮攻击者的忙。因为sessionStart钩子会在每次会话前重写配置新的令牌生成后下一次OAuth刷新照样会流经代理服务器。真正的修复前提是在轮换凭证之前彻底移除钩子并清理配置文件。防御者审查Atlassian或GitHub的审计日志时看到的全是合法用户名、真实会话以及归属Anthropic出口IP范围的地址。所有字段都挑不出毛病唯一的异常藏在用户本地的~/.claude.json里——而大多数安全团队根本不会监控这个文件。Anthropic的回应暂无补丁计划Mitiga在2026年4月10日向Anthropic提交了完整报告。对方次日确认收到但于4月12日回复称该问题超出其工作范围理由是攻击成立的前提是用户事先给予了同意。截至目前官方没有发布任何补丁的计划。这意味着企业安全团队必须独自承担全部的检测与响应责任不能指望上游厂商在短期内提供修复。企业安全团队现在该做什么面对这种隐蔽且持续的威胁被动等待显然不是选项。安全团队需要尽快落地几项针对性控制措施。密切监控~/.claude.json的异常编辑尤其是mcpServers段落的URL变更以及本地代理地址的突然出现。npm安装后的生命周期脚本应当被视为头等供应链风险在包到达开发者终端之前就必须完成注册表层面的脚本审计。与Claude Code集成的OAuth令牌需要被纳入定期轮换计划但轮换之前务必确认恶意钩子已被清除否则只是给攻击者送新的令牌。SaaS审计日志中凡是来自Anthropic出口IP范围但与用户已知活动模式不符的请求都值得深挖。开发环境里新冒出来的本地代理进程或者意料之外的OAuth刷新行为都是值得立即告警的信号。使用Claude Code和MCP集成的组织建议立刻执行cat ~/.claude.json逐一核对mcpServers下列出的每个URL是否为自己亲手配置的、可识别的合法端点。如果发现任何陌生的本地地址或可疑域名应当立即隔离并展开溯源。AI辅助开发工具的便利性毋庸置疑但这项研究提醒我们当开发环境与核心生产系统的边界越来越模糊时供应链攻击的代价也在成倍放大。安全团队需要把目光从传统的网络边界延伸到开发者本地的每一个配置文件和每一次包安装行为。
相关文章
保姆级教程:用Docker Compose一键部署qBittorrent+Transmission快校版+IYUU Plus辅种全家桶
零门槛Docker Compose实战:构建高效PT下载与辅种系统1. 从零开始的容器化PT环境搭建对于刚接触私有种子(PT)和Docker的新手而言,最头疼的莫过于繁琐的环境配置。传统方式需要在主机上直接安装qBittorrent、Transmission等客户端&a…
嵌入式Linux启动时间优化实战:从12秒到4秒的i.MX8M Nano深度调优
1. 项目概述与核心价值在嵌入式开发领域,尤其是工业控制、智能家居、车载信息娱乐系统等对“开机即用”有严苛要求的场景,系统启动时间是一个硬核指标。想象一下,一台工业HMI设备,从按下电源键到操作界面完全就绪需要等待十几秒&a…
Platinum-MD:现代化开源工具,让经典NetMD MiniDisc设备焕发新生
Platinum-MD:现代化开源工具,让经典NetMD MiniDisc设备焕发新生 【免费下载链接】platinum-md Minidisc NetMD Conversion and Upload 项目地址: https://gitcode.com/gh_mirrors/pl/platinum-md 在数字音乐流媒体主导的时代,Platinum…
AI+行业场景落地选型指南,非常详细收藏我这一篇就够了
本文解读了《2026年AI行业场景落地选型指南》,将AI发展划分为爆发期、试点探索期、规模化落地期。指南剖析了企业AI落地的六大核心痛点(场景识别模糊、ROI量化难、维护成本高、数据安全风险、技术与业务脱节、员工AI能力不足),并提…
星空粒子动效九宫格抽奖页面,点即开抽,中奖自动高亮+礼物弹窗
本文还有配套的精品资源,点击获取 简介:深空蓝底搭配浮动星光粒子的九宫格抽奖网页,所有功能纯前端实现,不依赖服务器或后端。点击「开始抽奖」按钮后,九宫格快速闪烁模拟转盘效果,随后随机锁定一个格子…
基于51单片机的智能窗帘控制方案:光敏自动启停+红外防夹报警+遥控/按键双控
本文还有配套的精品资源,点击获取 简介:这个资源包提供一套完整可落地的51单片机窗帘控制系统,主控为AT89S52,支持环境光强度实时检测与阈值设定,实现光照强自动关窗、弱光自动开窗;集成HC-SR501红外人体…
Mac Mouse Fix:解决macOS第三方鼠标原生体验缺失的技术架构解析
Mac Mouse Fix:解决macOS第三方鼠标原生体验缺失的技术架构解析 【免费下载链接】mac-mouse-fix Mac Mouse Fix - Make Your $10 Mouse Better Than an Apple Trackpad! 项目地址: https://gitcode.com/GitHub_Trending/ma/mac-mouse-fix 在macOS生态系统中&…
Uncle小说PC版:如何实现一站式小说搜索、下载与个性化阅读?
Uncle小说PC版:如何实现一站式小说搜索、下载与个性化阅读? 【免费下载链接】uncle-novel 📖 Uncle小说,PC版,一个全网小说下载器及阅读器,目录解析与书源结合,支持有声小说与文本小说ÿ…
3分钟掌握AI短视频创作:Pixelle-Video全自动视频生成完全指南
3分钟掌握AI短视频创作:Pixelle-Video全自动视频生成完全指南 【免费下载链接】Pixelle-Video 🚀 AI 全自动短视频引擎 | AI Fully Automated Short Video Engine 项目地址: https://gitcode.com/GitHub_Trending/pi/Pixelle-Video 在内容创作竞争…
解决老旧机顶盒资源化难题:Amlogic S9xxx Armbian项目在TY1608设备上的系统适配实现
解决老旧机顶盒资源化难题:Amlogic S9xxx Armbian项目在TY1608设备上的系统适配实现 【免费下载链接】amlogic-s9xxx-armbian Supports running Armbian on Amlogic, Allwinner, and Rockchip devices. Support a311d, s922x, s905x3, s905x2, s912, s905d, s905x, …
Python Scrapy 爬虫实战进阶系列(一):轻量化数据存储 - 数据精准写入 SQLite 数据库
前言 在 Python 爬虫开发领域中,Scrapy 作为高性能、高可扩展性的异步爬虫框架,是行业内采集结构化数据的首选工具。在中小型爬虫项目、本地数据采集、轻量化数据存储场景中,SQLite 无需独立服务、单文件存储、原生兼容 Python 的特性&#…
3步实现Windows直读Btrfs分区:跨平台文件系统互通终极方案
3步实现Windows直读Btrfs分区:跨平台文件系统互通终极方案 【免费下载链接】btrfs WinBtrfs - an open-source btrfs driver for Windows 项目地址: https://gitcode.com/gh_mirrors/bt/btrfs 还在为Windows无法访问Linux Btrfs分区而烦恼吗?你是…
LED驱动技术全解析:从核心架构到实战选型与避坑指南
1. 从一颗灯珠到千亿市场:LED驱动的技术演进与商业逻辑十几年前,当我第一次从料盘上拿起一颗0603封装的白色LED时,它微弱的光晕和高达几块钱的单颗成本,让我很难想象今天它几乎照亮了我们生活的每一个角落。从手机屏幕的一抹背光&…
索引堆及其优化
索引堆及其优化 引言 索引堆是一种数据结构,广泛应用于计算机科学和软件工程领域。它主要用于解决优先队列问题,如最小堆和最大堆。本文将详细介绍索引堆的概念、实现方法以及优化策略。 索引堆的定义 索引堆是一种基于堆数据结构的索引机制。它通过维护一个堆来存储数据…
从零到日增237精准粉丝,我靠CSDN这张AI卡片爆了!手把手复刻全流程,含配置避坑清单
更多请点击: https://intelliparadigm.com 第一章:CSDN AI 数字营销的官方引流卡片是什么功能? CSDN AI 数字营销平台推出的「官方引流卡片」,是一种面向技术创作者的轻量级、可嵌入式内容分发组件,专为提升博文、教程…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…