Claude Code vulnérabilité critique exploitée par des hackers, les utilisateurs cryptés deviennent des cibles d'attaque

Anthropic的Claude Code曝出一个严重的提权和命令执行漏洞，攻击者可以在无需用户授权的情况下执行任意命令。更令人担忧的是，这个漏洞已经被黑客利用来攻击加密用户。根据最新消息，慢雾团队安全研究员23pds转发了研究员Adam Chester的报告，漏洞编号为CVE-2025-64755，相关PoC已公开。

La menace principale du vulnérable

Qu’est-ce que cette vulnérabilité

Ce vulnérabilité dans Claude Code permet à un attaquant d’obtenir des privilèges élevés et d’exécuter des commandes, l’essentiel étant que l’attaquant peut le faire sans obtenir aucune autorisation de l’utilisateur. Cela signifie que même si vous ne cliquez sur aucun lien suspect ou n’entrez aucune commande, un hacker pourrait exploiter cette faille de manière ciblée pour manipuler votre système.

Pourquoi la menace est-elle plus grande pour les utilisateurs cryptographiques

Selon les informations, Claude Code est très largement utilisé par les développeurs et traders en cryptomonnaie. D’après les discussions sur les réseaux sociaux, beaucoup utilisent Claude Code pour écrire des programmes d’arbitrage, des robots de trading, etc., impliquant des opérations financières. Une fois qu’un hacker obtient le contrôle d’exécution de commandes via cette vulnérabilité, il pourrait :

• Voler les clés privées ou la phrase de récupération du portefeuille
• Modifier le code de transaction en cours d’exécution
• Intercepter les clés API et les identifiants d’échange
• Installer des logiciels malveillants pour une surveillance continue

Mauvaises précédents liés à des vulnérabilités passées

Selon les dernières informations, cette vulnérabilité est similaire à une autre vulnérabilité révélée précédemment dans l’outil Cursor. Il est important de noter que cette vulnérabilité dans Cursor n’a toujours pas été corrigée. Cela implique que :

• Des vulnérabilités similaires pourraient exister dans plusieurs outils d’IA de codage
• La période de correction pourrait être plus longue que prévu
• Les utilisateurs ne peuvent pas compter sur une réponse rapide des fournisseurs d’outils

Des attaques concrètes ont déjà commencé

23pds indique clairement que des hackers utilisant des techniques de phishing ont déjà exploité cette vulnérabilité pour attaquer des utilisateurs cryptographiques. Ce n’est pas un risque théorique, mais une réalité en cours. Les attaquants pourraient :

• Envoyer des emails de phishing déguisés en Claude Code officiel ou support technique
• Diffuser de faux tutoriels ou partager du code sur les réseaux sociaux
• Insérer des fragments de code apparemment normaux mais contenant en réalité des payloads malveillants

Ce que vous devriez faire maintenant

• Si vous utilisez Claude Code pour traiter du code impliquant des fonds (robots de trading, gestionnaires de portefeuille, etc.), il est conseillé de cesser temporairement son utilisation jusqu’à ce qu’Anthropic confirme la correction
• Vérifiez votre historique d’utilisation de Claude Code pour repérer toute activité suspecte de commandes exécutées
• Si vous avez saisi des clés privées, API ou autres informations sensibles dans Claude Code, changez immédiatement ces identifiants
• Suivez les annonces officielles de sécurité d’Anthropic pour connaître l’état d’avancement de la correction
• Pour le code déjà généré, examinez-le attentivement en local avant de le déployer en production

En résumé

Cette vulnérabilité dans Claude Code met en lumière une faiblesse en matière de sécurité des outils d’IA de codage. Pour les utilisateurs cryptographiques, la menace est particulièrement grave car le code concerne directement la sécurité des fonds. La priorité actuelle est de ne pas baisser la garde, tout en attendant la correction officielle d’Anthropic. La longue absence de correction de vulnérabilités similaires dans Cursor nous rappelle que les utilisateurs ne peuvent pas se fier entièrement aux outils, leur propre vigilance et leurs bonnes pratiques sont essentielles. Avant que cette vulnérabilité ne soit totalement corrigée, il est recommandé de renforcer la vérification des codes générés par Claude Code impliquant des opérations financières.