Claude Code 这次 RCE,真正刺痛企业的不是漏洞本身,而是“开发工具已经变成执行入口”
这次 Claude Code 的 RCE 风险,表面看是一个 deeplink 漏洞,实质上是一个更大的企业软件问题:当 AI 编程工具既能读代码、改文件、跑命令,又被浏览器、Slack、文档、告警系统用链接唤起时,它就不再只是“助手”,而是本地机器上的半自动执行层。 攻击者可以诱导用户点击一个特制的 claude-cli://open 链接,把恶意配置塞进 Claude Code 启动参数里,最终通过 hooks 执行本地命令。 但这里有个细节要校正一下。DevOps写到“version 2.1.118 的漏洞已修复”容易让人以为 2.1.118 是受影响版本。研究者 0day.click 的原文 说法更明确:这个问题“fixed since Claude Code version 2.1.118”,也就是 2.1.118 起已经修掉。Anthropic 的 Claude Code changelog 显示 2.1.118 发布于 2026 年 4 月 23 日;截至 2026 年 5 月 22 日,changelog 最新版本已经到 2.1.149。 我更关心的是,这不是一个“模型胡说八道导致攻击”的故事。它更像传统 CLI、URL handler、参数解析、配置注入这些老问题,穿上了 AI agent 的外衣。 问题出在一个提前解析参数的逻辑上。Claude Code 的 deeplink 本来是为了方便协作:你可以在 runbook、告警、README 或内部文档里放一个 claude-cli://open 链接,一点就打开本地 Claude Code,并预填某个 repo 和 prompt。Anthropic 官方 deep links 文档 也说明,这类链接会在本机打开 Claude Code,会选择目录,并把 prompt 填进输入框。 安全边界本来应该是:链接只负责“预填”,不负责“执行”。官方文档还写得很清楚,deep link 不应该自己执行任何东西,用户需要看完预填内容再按 Enter。 可研究者发现,参数解析器把本该作为 prompt 内容的一段 --settings=... 当成了真正的启动配置。于是攻击者可以把 hooks 配置塞进去。Claude Code 的 hooks 文档 又明确说明,hooks 可以在 SessionStart、PreToolUse、PostToolUse 等生命周期节点自动运行命令。两件事连起来,风险就变味了:一个“打开工具并预填 prompt”的链接,可能变成“打开工具并自动执行命令”的入口。 这类漏洞对企业尤其麻烦,因为它不需要攻击 AI 模型本身。它攻击的是 AI 工具周边的胶水层:URL scheme、CLI parser、settings、hooks、workspace trust、permission mode。换句话说,安全团队过去盯的是模型输出,现在还得盯模型运行环境。 还有一个更现实的点:很多团队正在把 AI coding agent 接进 CI、IDE、Slack、工单、告警系统。链接、插件、hooks、MCP、权限模式,本来都是为了提效。可提效链路越顺滑,攻击面也越像自动化流水线。一次点击、一个已信任 repo、一段被提前解析的配置,就可能绕过“人会看一眼”的假设。 这也解释了为什么我不把它看成单个产品的丑闻。Claude Code 官方安全页强调默认只读、执行命令要权限、可以用 sandbox 和 permissions 控制边界;这些设计方向没错。但这次事件提醒我们:只要 agent 能运行本地命令,真正的安全边界不能只放在 agent 自己的解释逻辑里。配置加载顺序、参数上下文、URL handler 行为、hooks 来源,都必须当成高风险入口审计。 对企业用户,短期动作很简单:升级到 2.1.118 或更高版本,最好直接跟进到当前最新稳定版本;检查内部文档、runbook、Slack bot、告警平台里是否已经使用 claude-cli:// 链接;对 hooks 做清单化管理,尤其是 SessionStart 这类一开会话就运行的钩子;不要把外部来源的 deeplink 当成普通网页链接点。 更重要的是中长期动作:把 AI 编程工具当成“有本地执行能力的开发基础设施”,而不是普通 SaaS。普通 SaaS 出问题,多半是数据泄漏或权限越界;本地 coding agent 出问题,可能直接碰到源码、密钥、SSH 配置、构建脚本、云账号上下文。 这件事的反直觉之处在于,越专业的团队越可能受影响。因为他们更可能用 hooks 自动跑测试、自动格式化、自动开工单、自动接告警;他们也更可能把 deeplink 放进运维流程里。个人用户可能只是点开聊天,企业用户点开的可能是一条半自动化生产链。 所以这次 Claude Code RCE 的真正信号是:AI agent 安全已经从“防 prompt injection”进入“防工具链注入”。模型安全只是其中一层,CLI、配置、插件、hooks、权限系统,才是接下来最容易出事故的地方。
