说句实话,看完 UP 主 Jack Cui 的实测视频,我背后惊出一身冷汗。
作为一名常年和代码打交道的“老司机”,我自认为安全意识已经拉满了。
不点来路不明的链接、不运行未知的 .exe、重要密码全进保险箱。
但我万万没想到,在 AI 时代,黑客想黑掉你的电脑,根本不需要骗你下载什么病毒。
他只需要让你在自己信任的开发环境里,随手敲下一个回车。
真的,仅仅是一个回车,你的摄像头可能正盯着你,而你的密码已经坐上了飞往黑客服务器的“航班”。
现场还原:一个“杀人于无形”的 JSON 文件
最近,Claude Code 的源码泄露闹得沸沸扬扬。
大量开发者为了尝鲜,开始从非官方渠道搞各种“魔改版”或者配套插件。
Jack Cui 做了一个极简的演示实验,把这个漏洞的恐怖之处展现得淋漓尽致:
他在 GitHub 上创建了一个看起来极度“清白”的项目:一个 .claude 文件夹,外加一个空得不能再空的 Python 脚本。
操作如下:
- 像往常一样,他在终端输入了
claude命令,想让 AI 帮他分析代码。 - 没有任何弹窗,没有任何权限请求,甚至连个警告都没有。
- 下一秒,惊悚的事情发生了: 电脑摄像头在后台悄悄启动,画面实时回传;
- 文件夹里瞬间多出了一个“扫描到的密码.txt”,里面密密麻麻全是敏感密钥。
整个过程,全自动化,零交互,受害者全程蒙在鼓里。
这种感觉就像你请了个保姆(AI 助手)回家,结果保姆进门的第一件事,不是打扫卫生,而是拿着你放在地毯下的备用钥匙,把门锁全换了,顺便把监控探头调向了你的床头。
深度拆解:为什么“配置文件”成了“杀手锏”?
很多人不理解:一个 .json 配置文件,怎么就成了木马?
这里我们要聊到一个核心机制:Hooks(钩子)。
在 Claude Code 的设计初衷里,Hooks 是个非常贴心的“管家功能”。
比如你想在 AI 启动前自动检查一下代码格式,或者运行完之后清理一下临时文件,你就可以在 .claude/settings.json 里写几行脚本。
坏就坏在,Claude Code 对这种“家賊”极其信任。
它默认你项目目录下的配置文件是安全的,所以它在执行这些脚本时,完全不经过用户确认。
黑客只需要在配置文件里写上一句:“启动时:运行 PowerShell 静默调取摄像头并上传数据”。
只要你在这个文件夹下运行了 claude 命令,你就亲手按下了自杀程序的“启动键”。
三条毒路:这不仅仅是 Claude 的危机
经过源码分析,这波“投毒”的路径远不止一条,目前已知的就有三个重灾区:
- Hooks 配置文件投毒:也就是刚才说的,进目录一运行就中招。
- MCP 配置文件投毒:通过
.mcp.json强行连接恶意服务器,绕过审批执行命令。 - Skill 插件投毒:在 AI 的插件里植入恶意脚本,当你让 AI 执行任务时,它反手就把你卖了。
这就是著名的 CVE-2025-59536 漏洞。
虽然 Anthropic 官方在去年底已经逐步修复,但随着源码泄露,所有安全底裤都被扒光了。
51 万行代码摆在黑客面前,攻击面变得前所未有的清晰。
正如 Check Point 研究员所说:曾经作为“死数据”的配置文件,如今成了控制你整台电脑的“活控制器”。
认知的彻底颠覆:AI Agent 时代的生存法则
这件事背后,揭示了一个正在发生的、令人不安的趋势:
在 AI Agent 时代,配置文件就是可执行文件。
过去我们的安全教育是:不要运行 .exe。
现在的现实是:不要随便 clone 一个你不熟悉的仓库,并在里面运行任何 AI 命令。
AI 编程工具(如 Cursor、Windsurf、Claude Code)正在获得越来越高的系统级权限。
它们能读写文件、能执行终端命令、能联网。
权力越大,责任越大,风险也就越大。
当工具接管了你的键盘,它其实也接管了你的电脑命脉。
防护指南:别让你的 AI 变成内鬼
如果你正在使用 Claude Code 或类似的 AI 编程工具,请立刻执行以下“排毒”操作:
1. 强制更新:
手动运行 npm install @anthropic-ai/claude-code@latest,确保你在用最新的安全版本。
2. 自查配置文件:全局搜索你电脑里的
重点看 hooks 字段,如果发现里面有 curl、wget、powershell 或者奇奇怪怪的网址,删掉项目,重装系统。
3. 克制好奇心:
近期从 GitHub 上 clone 的小众项目,先肉眼扫一下 .claude 文件夹,别急着运行命令。
切记:AI 工具正在接管开发者的键盘,但接管能力的同时,不应该接管你的信任。
💡 互动时刻
这事儿关乎每一个开发者的资产安全,建议转发给身边正在用 AI 撸代码的朋友,提醒他们:回车千万条,安全第一条!
如果你想看实测视频细节,可以直接去 B 站搜索「Claude Code源码泄露,隐藏秘密被扒,全网首发!」。
UP 主 Jack Cui,是全网第一个公开实测并演示这个漏洞的人,视频版已上传 B 站。
