La vulnérabilité de Claude Code permet l’exécution arbitraire de commandes via des fichiers de configuration malveillants, selon des chercheurs

Des chercheurs, menés par le fondateur de Slowmist, Yu Xin, ont découvert que Claude Code contient une vulnérabilité potentielle de type empoisonnement, permettant à des attaquants d’exécuter des commandes arbitraires via des fichiers de configuration malveillants, sans que l’utilisateur en ait connaissance. Lors d’un test de preuve de concept sur macOS, les chercheurs ont déclenché le lancement d’une calculatrice locale après l’exécution de la commande, confirmant ainsi le risque. En cas d’exploitation, les attaquants pourraient voler des clés API depuis Claude et OpenAI, compromettre des identifiants de services cloud auprès d’AWS, d’Alibaba Cloud ou de Tencent Cloud, et potentiellement pivoter vers des réseaux internes.
Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire