Claude Code被攻破「后门」,港科大&复旦研究曝出TIP漏洞
一项由香港科技大学与复旦大学联合开展的研究发现,Anthropic的AI编程工具Claude Code v1.0.81在连接MCP服务器时存在严重安全漏洞,攻击者可利用TIP劫持实现无需交互的远程代码执行(RCE)。通过TEW攻击框架,研究者在10次测试中实现了90%的攻击成功率,主模型Sonnet可能绕过Haiku守卫的安全警告,执行恶意命令。该漏洞源于MCP协议的动态工具注册机制对系统提示的污染,暴露了当前AI代理在协同防护设计上的缺陷。研究同时指出,所测试的7款主流AI编程工具均存在类似风险,强调需加强输入过滤、自省机制与信任控制以提升安全性。来源:https://mp.weixin.qq.com/s/NyNHgKSBUYDK1BVDBChsdQ
页:
[1]