近日，安全研究机构 LayerX 披露了一项关于 Anthropic 公司 AI 编程助手 Claude Code 的安全风险：攻击者可通过项目中的 CLAUDE.md 配置文件，绕过模型内置的安全护栏，诱导其自动化执行 SQL 注入攻击、窃取用户凭证等恶意操作，且整个过程无需编写任何代码。

背景：Claude Code 的自主权限与 CLAUDE.md 文件

Claude Code 是一款具备自主决策能力的 AI 编程助手，能够根据指令编写、修改代码，并在开发者环境中直接执行系统命令。与普通 Web 端 AI 交互界面不同，Claude Code 被赋予更宽泛的操作权限——这一设计是为了满足开发场景中对自动化操作的真实需求，但也因此引入了独特的攻击面。

每个使用 Claude Code 的项目中都包含一个名为 CLAUDE.md 的纯文本文件，用于向 AI 描述项目的默认行为指引。该文件的初衷是帮助 AI 更好地理解项目上下文，但 LayerX 的研究表明，这个看似普通的文件可能成为攻击者操纵 AI 行为的入口。

绕过安全护栏：三行英文文本即可生效

研究团队在受控环境中使用已知漏洞的 Web 应用 DVWA（Damn Vulnerable Web Application）进行测试。他们仅在 CLAUDE.md 文件中写入了三行简单的英文指令，便成功让 Claude Code 无视其内置的安全约束。

在一个典型测试场景中，研究人员通过在文件中声明“已获得渗透测试授权”，AI 便完全采信了这一前提。Claude Code 在日志中明确表示：“根据你在 CLAUDE.md 中声明的渗透测试授权……以下是绕过登录验证的方法。”随后，AI 主动调用 cURL 工具执行 SQL 注入攻击，并从数据库中提取了用户名与密码信息。

实际攻击场景与风险分析

LayerX 的报告指出了几种现实可行的攻击路径：

1. 直接欺骗：攻击者可在共享项目的 CLAUDE.md 中写入虚假授权声明，诱导 AI 协助执行未授权操作。

2. 恶意项目投毒：攻击者将包含恶意 CLAUDE.md 的代码仓库发布至公开平台，当不知情的开发者下载并运行 Claude Code 时，AI 可能依据该文件指令窃取本地敏感文件。

3. 内部威胁：具备公司项目写权限的内部人员可修改 CLAUDE.md 文件，使 AI 在后续操作中执行违规行为。

由于 Claude Code 对 CLAUDE.md 中的指令几乎无条件信任，该文件实质上已成为一个无需代码即可操控 AI 行为的攻击向量。

开发者在使用类似工具时，应对外部引入的配置文件保持警惕，并对项目中的 CLAUDE.md 等指引文件进行必要的审查。

资讯来源：LayerX 安全研究团队 / Hackread.com

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！