Claude Code — уязвимость с опасным пропуском проверки прав и инструмент защиты с открытым исходным кодом

Уязвимость безопасности в Claude Code с флагом --dangerously-skip-permissions

При использовании Claude Code с флагом --dangerously-skip-permissions существует задокументированная уязвимость косвенной инъекции промптов. Основная проблема: Claude обрабатывает ненадёжный контент с привилегиями доверенного источника и не может надёжно различать ваши инструкции и вредоносные инструкции, встроенные в этот контент.

Векторы атак, задокументированные Lasso Security

• Скрытые инструкции в README или комментариях кода клонированных репозиториев
• Вредоносный контент на веб-страницах, которые Claude получает для исследований
• Отредактированные страницы, поступающие через MCP-коннекторы (Notion, GitHub, Slack и т.д.)
• Закодированные полезные нагрузки в Base64, гомоглифах, нулевых символах

Флаг удаляет контрольную точку человека, которая обычно перехватывает подозрительную активность, создавая значительную поверхность для атак, когда Claude читает файлы, получает страницы или получает вывод от MCP-серверов.

Инструмент защиты с открытым исходным кодом

Lasso Security выпустила PostToolUse-хук, который сканирует выводы инструментов по более чем 50 шаблонам обнаружения до того, как Claude их обработает. Инструмент предупреждает, а не блокирует полностью, чтобы избежать ложных срабатываний и сохранить контекст. Настройка занимает около 5 минут и работает как с Python, так и с TypeScript.

Инструмент доступен на GitHub как claude-hooks и подробно описан в блоге Lasso об этой уязвимости.