Lỗ hổng trong Claude Code cho phép thực thi lệnh tùy ý thông qua các tệp cấu hình độc hại; các nhà nghiên cứu đã phát hiện ra vấn đề này.

Các nhà nghiên cứu, do người sáng lập Slowmist Yu Xin dẫn đầu, đã phát hiện rằng Claude Code tồn tại một lỗ hổng tiềm ẩn dạng đầu độc (poisoning). Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh tùy ý thông qua các tệp cấu hình độc hại mà người dùng không hề hay biết. Trong một bài kiểm tra proof-of-concept trên macOS, các nhà nghiên cứu đã kích hoạt việc mở khóa máy tính cục bộ sau khi thực thi lệnh, qua đó xác nhận mức độ rủi ro. Nếu bị khai thác, kẻ tấn công có thể đánh cắp Khóa API từ Claude và OpenAI, làm tổn hại thông tin xác thực của các dịch vụ đám mây từ AWS, Alibaba Cloud hoặc Tencent Cloud, đồng thời có khả năng pivot sang các mạng nội bộ.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận