Claude Code — уязвимость с опасным пропуском проверки прав и инструмент защиты с открытым исходным кодом

Уязвимость безопасности в Claude Code с флагом --dangerously-skip-permissions
При использовании Claude Code с флагом --dangerously-skip-permissions существует задокументированная уязвимость косвенной инъекции промптов. Основная проблема: Claude обрабатывает ненадёжный контент с привилегиями доверенного источника и не может надёжно различать ваши инструкции и вредоносные инструкции, встроенные в этот контент.
Векторы атак, задокументированные Lasso Security
- Скрытые инструкции в README или комментариях кода клонированных репозиториев
- Вредоносный контент на веб-страницах, которые Claude получает для исследований
- Отредактированные страницы, поступающие через MCP-коннекторы (Notion, GitHub, Slack и т.д.)
- Закодированные полезные нагрузки в Base64, гомоглифах, нулевых символах
Флаг удаляет контрольную точку человека, которая обычно перехватывает подозрительную активность, создавая значительную поверхность для атак, когда Claude читает файлы, получает страницы или получает вывод от MCP-серверов.
Инструмент защиты с открытым исходным кодом
Lasso Security выпустила PostToolUse-хук, который сканирует выводы инструментов по более чем 50 шаблонам обнаружения до того, как Claude их обработает. Инструмент предупреждает, а не блокирует полностью, чтобы избежать ложных срабатываний и сохранить контекст. Настройка занимает около 5 минут и работает как с Python, так и с TypeScript.
Инструмент доступен на GitHub как claude-hooks и подробно описан в блоге Lasso об этой уязвимости.
📖 Прочитать полный источник: r/ClaudeAI
👀 Смотрите также

Утечка данных OpenClaw: агент CEO продан за 25 тысяч долларов, 135 тысяч экземпляров оказались уязвимы.
Экземпляр OpenClaw генерального директора из Великобритании был продан за $25 000 на BreachForums, что привело к раскрытию файлов Markdown с открытым текстом, содержащих переписки, производственные базы данных, API-ключи и личные данные. SecurityScorecard обнаружила 135 000 экземпляров OpenClaw, доступных в интернете с небезопасными настройками по умолчанию.

Офлайн-верификатор SBOM для OpenClaw обнаруживает отравленные навыки менее чем за 0,2 секунды.
Разработчик создал оффлайн-инструмент проверки SBOM на Rust, который обнаружил отравленный навык OpenClaw, похищающий SSH-ключи, при этом проверка завершается менее чем за 0,2 секунды без доступа к интернету.

В маркетплейсе ClawHub от OpenClaw обнаружено 820 вредоносных навыков
Исследователи безопасности обнаружили 820 навыков на маркетплейсе OpenClaw ClawHub, содержащих подтверждённое вредоносное ПО, включая кейлоггеры, скрипты для извлечения данных и скрытые shell-команды. Эти навыки могут выполнять код и взаимодействовать с локальной средой, создавая риски безопасности цепочки поставок.

OpenClaw заблокировал подозрительный скрипт из плейбука продуктивности, а затем продолжил создавать финансовую рабочую книгу
Пользователь дал OpenClaw zip-архив с подозрительным сборником продуктивности. OpenClaw отказался запускать скрипт, отметив, что он пытается автоматически установиться в каталог навыков, и вручную создал рабочую книгу, используя встроенные навыки.