Claude Code高危漏洞被黑客利用，加密用户成攻击目标

Anthropic的Claude Code曝出一个严重的提权和命令执行漏洞，攻击者可以在无需用户授权的情况下执行任意命令。更令人担忧的是，这个漏洞已经被黑客利用来攻击加密用户。根据最新消息，慢雾团队安全研究员23pds转发了研究员Adam Chester的报告，漏洞编号为CVE-2025-64755，相关PoC已公开。

漏洞的核心威胁

什么是这个漏洞

Claude Code中的这个漏洞允许攻击者实现提权和命令执行，关键在于攻击者无需获得用户的任何授权就能做到这一点。这意味着即使你没有点击任何可疑链接或输入任何命令，黑客也可能通过精心设计的方式利用这个漏洞对你的系统进行操作。

为什么对加密用户威胁更大

根据相关资讯显示，Claude Code在加密开发者和交易者中使用非常广泛。从社交媒体讨论来看，许多人用Claude Code写套利程序、交易机器人等涉及资金操作的代码。一旦黑客通过这个漏洞获得命令执行权限，他们可能会：

• 窃取钱包私钥或助记词
• 修改正在运行的交易代码
• 截获API密钥和交易所凭证
• 安装恶意程序进行持续监控

历史漏洞的不良先例

根据最新消息，这个漏洞与此前在Cursor工具中披露的同类漏洞相似。值得注意的是，Cursor的这个类似漏洞一直未被修复。这意味着：

• 类似的漏洞可能在多个AI编码工具中存在
• 修复周期可能比预期长
• 用户不能依赖工具方快速响应

现实的攻击已经开始

23pds明确指出已有钓鱼黑客利用相关漏洞攻击加密用户。这不是理论风险，而是正在发生的事。攻击者可能通过：

• 伪装成Claude Code官方或技术支持的钓鱼邮件
• 社交媒体上的虚假教程或代码分享
• 看似正常的代码片段，实际包含恶意payload

你现在应该做什么

• 如果你使用Claude Code处理涉及资金的代码（交易机器人、钱包管理等），建议暂时停止使用，直到Anthropic确认修复
• 检查你的Claude Code使用历史，看是否有可疑的命令执行记录
• 如果你在Claude Code中输入过私钥、API密钥等敏感信息，立即轮换这些凭证
• 关注Anthropic的官方安全公告，了解漏洞修复的最新进展
• 对于已经生成的代码，在本地环境中仔细审查后再在生产环境运行

总结

Claude Code的这个漏洞暴露了AI编码工具在安全性上的短板。对加密用户而言，这个威胁特别严重，因为代码直接关系到资金安全。当前的关键是不要掉以轻心，同时等待Anthropic的正式修复。类似Cursor漏洞长期未修复的情况提醒我们，用户不能完全依赖工具方，自己的防护意识和操作规范同样重要。建议在这个漏洞完全修复之前，对Claude Code生成的涉及资金操作的代码保持更高的审查标准。