Claude Code v2.1.150 fügt Remote System Prompt Injection via Netzwerk hinzu

Claude Code v2.1.150 führt einen Mechanismus ein, der beim Start und alle 60 Sekunden System-Prompts von Anthropic-Servern über ein GrowthBook-Feature-Flag abruft und so Remote-Prompt-Injection ermöglicht. Die Änderung, im Changelog als „Interne Infrastrukturverbesserungen (keine sichtbaren Änderungen für Benutzer)“ bezeichnet, fügt zwei Datenquellen hinzu, die beliebige Zeichenfolgen in den System-Prompt des LLM mit Shell-Zugriff einschleusen.

Funktionsweise

• Bootstrap-Endpunkt: Beim Start ruft Claude Code api.anthropic.com/api/claude_cli/bootstrap auf und speichert die Antwort im Cache auf der Festplatte.
• GrowthBook-Feature-Flag: Das Flag tengu_heron_brook wird alle 60 Sekunden über eine Hintergrundsynchronisation aktualisiert. Jede von diesen Endpunkten zurückgegebene Zeichenfolge wird in den System-Prompt eingefügt.

In früheren Versionen existierte die Injektionsstelle, war aber toter Code und gab null zurück. In v2.1.150 wurde der Netzwerkabruf in der Funktion n0A aktiviert und das Flag über Rv("heron_brook", () => nAA()) registriert. Die Funktion nAA liest den zwischengespeicherten Wert von der Festplatte.

Blockieren der Injektion

Benutzer, die ihre System-Prompts patchen (z. B. mit Tools wie tweakcc), können die Remote-Injektion mit Umgebungsvariablen blockieren:

export CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1
export DISABLE_GROWTHBOOK=1

Überprüfungsbefehle (Linux x64)

npm pack @anthropic-ai/[email protected] --pack-destination /tmp
tar xzf /tmp/anthropic-ai-claude-code-linux-x64-2.1.150.tgz
strings package/claude | grep -oP 'function nAA\(\)\{[^}]+\}'
strings package/claude | grep -oP '.{0,60}heron_brook.{0,60}'

Die minifizierten Funktionsnamen sind spezifisch für diese Binärdatei.

Betroffene

Jeder, der Claude Code v2.1.150 ausführt und auf lokales Prompt-Patching angewiesen ist (z. B. Power-User, sicherheitsbewusste Entwickler) oder sicherstellen möchte, dass keine Remote-Verhaltensänderungen ohne Zustimmung erfolgen.