Claude Code高危漏洞被黑客利用，加密用户成攻擊目標

Anthropic的Claude Code曝出一个严重的提权和命令执行漏洞，攻击者可以在无需用户授权的情况下执行任意命令。更令人担忧的是，这个漏洞已经被黑客利用来攻击加密用户。根据最新消息，慢雾团队安全研究员23pds转发了研究员Adam Chester的报告，漏洞编号为CVE-2025-64755，相关PoC已公开。

漏洞的核心威胁

什麼是這個漏洞

Claude Code中的這個漏洞允許攻擊者實現提權和命令執行，關鍵在於攻擊者無需獲得用戶的任何授權就能做到這一點。這意味著即使你沒有點擊任何可疑鏈接或輸入任何命令，黑客也可能通過精心設計的方式利用這個漏洞對你的系統進行操作。

為什麼對加密用戶威脅更大

根據相關資訊顯示，Claude Code在加密開發者和交易者中使用非常廣泛。從社交媒體討論來看，許多人用Claude Code寫套利程序、交易機器人等涉及資金操作的代碼。一旦黑客通過這個漏洞獲得命令執行權限，他們可能會：

• 窃取錢包私鑰或助記詞
• 修改正在運行的交易代碼
• 截獲API密鑰和交易所憑證
• 安裝惡意程序進行持續監控

歷史漏洞的不良先例

根據最新消息，這個漏洞與此前在Cursor工具中披露的同類漏洞相似。值得注意的是，Cursor的這個類似漏洞一直未被修復。這意味著：

• 類似的漏洞可能在多個AI編碼工具中存在
• 修復周期可能比預期長
• 用戶不能依賴工具方快速響應

現實的攻擊已經開始

23pds明確指出已有釣魚黑客利用相關漏洞攻擊加密用戶。這不是理論風險，而是正在發生的事。攻擊者可能通過：

• 伪裝成Claude Code官方或技術支持的釣魚郵件
• 社交媒體上的虛假教程或代碼分享
• 看似正常的代碼片段，實際包含惡意payload

你現在應該做什麼

• 如果你使用Claude Code處理涉及資金的代碼（交易機器人、錢包管理等），建議暫時停止使用，直到Anthropic確認修復
• 檢查你的Claude Code使用歷史，看是否有可疑的命令執行記錄
• 如果你在Claude Code中輸入過私鑰、API密鑰等敏感信息，立即輪換這些憑證
• 關注Anthropic的官方安全公告，了解漏洞修復的最新進展
• 對於已經生成的代碼，在本地環境中仔細審查後再在生產環境運行

總結

Claude Code的這個漏洞暴露了AI編碼工具在安全性上的短板。對加密用戶而言，這個威脅特別嚴重，因為代碼直接關係到資金安全。當前的關鍵是不要掉以輕心，同時等待Anthropic的正式修復。類似Cursor漏洞長期未修復的情況提醒我們，用戶不能完全依賴工具方，自己的防護意識和操作規範同樣重要。建議在這個漏洞完全修復之前，對Claude Code生成的涉及資金操作的代碼保持更高的審查標準。