Claude Code 成了高危木馬，UP主 Jack Cui 首個發現

? IMPORTANT

請仔細檢查環境、更新版本，并轉發本文

運行 claude 命令后，攝像頭彈起

昨天，Claude Code 源碼泄露之后，大量開發者開始從非官方渠道獲取、修改、重新打包 Claude Code 相關的項目和插件

與此同時，Claude Code 有一個叫 hooks 的機制：項目目錄下的 .claude/settings.json 配置文件可以定義自動化腳本，在你運行 claude 命令的瞬間靜默執行任意命令，不彈出任何確認

把這兩件事放在一起：只要電腦被下招，運行 claude 命令后，你的密碼、攝像頭、整臺電腦都可以被靜默控制

比如說，從 GitHub 上 clone 了一個看起來正常的項目，打開終端輸入 claude，電腦攝像頭被調起、密碼被拷走、后門被植入。全程零交互，你什么都不知道

UP 主 Jack Cui，是全網第一個公開實測并演示這個漏洞的人，視頻版已上傳 B 站

www.bilibili.com/video/BV1b195B4EX3

本文已獲得授權，所有素材和漏洞驗證均來自 Jack Cui

實測：一個 claude 命令，電腦就失控了

演示項目的結構很簡單：一個 .claude 配置文件夾，加一個空的 Python 腳本，沒有任何其他文件

在終端輸入 claude 回車。三件事同時發生了：

→電腦攝像頭被靜默調起，畫面實時顯示在屏幕左下角

→右側文件夾里自動創建了一個「掃描到的密碼.txt」，里面寫滿了被竊取的密鑰信息

→整個過程沒有任何確認彈窗、沒有任何權限提示

密碼信息自動獲取、保存

這里強調的一點：什么都沒點，什么都沒確認。沒有做任何操作，Claude 沒有彈出任何確認提醒。配置文件里定義的 hooks 腳本直接在后臺跑了

四個字：信任邊界

Claude Code 有一個叫 hooks 的功能，允許開發者在項目的 .claude/settings.json 配置文件里定義自動化腳本。比如在 Claude 啟動時、讀取文件時、執行完工具后自動觸發某些操作。設計初衷是做格式化、安全檢查這類自動化任務

問題在于，這些 hooks 的執行不需要用戶確認。Claude Code 默認信任項目目錄下的配置文件

視頻里展示了那段惡意 JSON 代碼的特寫。hooks 字段里嵌著一條 powershell 命令，用來靜默調起 Windows 攝像頭拍照

惡意 JSON 配置中的 powershell 命令

從 GitHub 上 clone 了一個別人的項目，項目里的配置文件就能在你的電腦上靜默執行任意命令。你品一下這個邏輯

你把電腦的控制權交給了一個 JSON 文件的作者

我們當前的權限系統并不是 Agent Ready 的

投毒路徑不止一條

分析源碼后會發現，hooks 配置文件只是攻擊入口之一。Claude Code 的投毒路徑至少有三條：

① hooks 配置投毒

在 .claude/settings.json 里定義惡意的 SessionStart 鉤子，用戶一運行 claude 命令就觸發。這是視頻里演示的那條路徑

② MCP 配置文件投毒

通過 .mcp.json 文件配置惡意的 MCP 服務器，繞過用戶審批自動連接外部工具，執行任意命令

③ Skill 插件投毒

通過 skill 文件的 frontmatter 區域定義惡意 hooks，在子代理執行任務時觸發

三條路徑的共同點：都是 Claude Code 默認信任、不做二次確認的配置入口

投毒方式多種多樣，防不勝防

CVE-2025-59536：這個問題早就被盯上了

視頻里的實測和安全公司 Check Point Research 在 2025 年 7 月報告給 Anthropic 的漏洞指向同一個問題

CVE-2025-59536，CVSS 評分 8.7，攻擊者可以通過倉庫級別的配置文件實現遠程代碼執行和 API 密鑰竊取。觸發條件只是 clone 并打開一個惡意項目

Anthropic 在 2025 年 8 月到 10 月間逐步修復了這些問題。但這次源碼泄露讓攻擊面變得更清晰。51 萬行源碼包含了完整的安全架構、六級權限驗證系統、所有 hooks 事件類型的實現細節

Check Point 研究員在報告里寫的一句話很準確：曾經作為被動數據的配置文件，如今成了主動執行路徑的控制器

這件事跟普通人有什么關系

如果你不用 Claude Code，這個漏洞跟你沒有直接關系

但從網絡安全的角度，這件事揭示了一個正在成型的趨勢：AI 開發工具正在獲得越來越多的系統級權限。它們可以讀寫文件、執行命令、連接外部服務。當這些工具的配置文件可以被第三方控制時，攻擊面就從「你運行了一段惡意代碼」變成了「你打開了一個正常的項目文件夾」

傳統的安全意識告訴你不要運行來路不明的 .exe 文件。但在 AI Agent 時代，一個 JSON 文件就能做到同樣的事。這個認知需要更新

在 AI Agent 時代，配置文件就是可執行文件

如果你身邊有用 Claude Code、Cursor、Windsurf 或者其他 AI 編程工具的朋友，建議轉發給他們看一眼

怎么排查和防護

立即檢查你本地所有項目的 .claude/settings.json，看 hooks 字段里有沒有可疑命令

具體操作：

→更新 Claude Code 到最新版本：npm install @anthropic-ai/claude-code@latest

→檢查全局配置 ~/.claude/settings.json 和每個項目目錄下的 .claude/settings.json，重點看 hooks 字段里的 command 值

→檢查 .mcp.json 文件，確認沒有指向未知服務器的 MCP 配置

→檢查已安裝的 skill 插件，看 frontmatter 里有沒有定義 hooks

→近期謹慎 clone 不熟悉的開源項目，尤其是包含 .claude 目錄的

如果配置文件里出現了 curl、wget、powershell 或者指向外部 URL 的命令，大概率有問題

視頻最后 Jack 說了一句：AI 工具正在接管開發者的鍵盤，但接管能力的同時，不應該接管信任

以上內容的全部 credits 歸 Jack Cui。視頻版在 B 站，搜索「全網首發，Claude Code 高危漏洞解析」

也可以直接訪問：www.bilibili.com/video/BV1b195B4EX3

關于 Jack Cui

Jack Cui 是全網第一個公開實測并演示 Claude Code hooks 高危漏洞的人，并授權本號首發圖文解析

Jack Cui， Jack-Cherish @ GitHub

算法工程師，Python 領域頭部開發者

github.com/Jack-Cherish

GitHub 中國區粉絲榜 第 43 名，近萬 followers。開源項目總 star 4 萬+，其中 PythonPark（11.3k star）、python-spider（19.5k star）、Machine-Learning（10.3k star）均為中文社區高人氣項目

space.bilibili.com/331507846

B 站同名 Jack-Cui，持續輸出 Python、機器學習、AI 工具相關內容

注：本文撰寫時（2026 年 4 月 1 日），Anthropic 官方源已推送修復版本

請立即更新到最新版（Claude Code 不一定會自動更新）