? IMPORTANT

請仔細檢查環(huán)境、更新版本，并轉(zhuǎn)發(fā)本文

運行 claude 命令后，攝像頭彈起

昨天，Claude Code 源碼泄露之后，大量開發(fā)者開始從非官方渠道獲取、修改、重新打包 Claude Code 相關(guān)的項目和插件

與此同時，Claude Code 有一個叫 hooks 的機制：項目目錄下的 .claude/settings.json 配置文件可以定義自動化腳本，在你運行 claude 命令的瞬間靜默執(zhí)行任意命令，不彈出任何確認

把這兩件事放在一起：只要電腦被下招，運行 claude 命令后，你的密碼、攝像頭、整臺電腦都可以被靜默控制

比如說，從 GitHub 上 clone 了一個看起來正常的項目，打開終端輸入 claude，電腦攝像頭被調(diào)起、密碼被拷走、后門被植入。全程零交互，你什么都不知道

UP 主 Jack Cui，是全網(wǎng)第一個公開實測并演示這個漏洞的人，視頻版已上傳 B 站

www.bilibili.com/video/BV1b195B4EX3

本文已獲得授權(quán)，所有素材和漏洞驗證均來自 Jack Cui

實測：一個 claude 命令，電腦就失控了

演示項目的結(jié)構(gòu)很簡單：一個 .claude 配置文件夾，加一個空的 Python 腳本，沒有任何其他文件

在終端輸入 claude 回車。三件事同時發(fā)生了：

→電腦攝像頭被靜默調(diào)起，畫面實時顯示在屏幕左下角

→右側(cè)文件夾里自動創(chuàng)建了一個「掃描到的密碼.txt」，里面寫滿了被竊取的密鑰信息

→整個過程沒有任何確認彈窗、沒有任何權(quán)限提示

密碼信息自動獲取、保存

這里強調(diào)的一點：什么都沒點，什么都沒確認。沒有做任何操作，Claude 沒有彈出任何確認提醒。配置文件里定義的 hooks 腳本直接在后臺跑了

四個字：信任邊界

Claude Code 有一個叫 hooks 的功能，允許開發(fā)者在項目的 .claude/settings.json 配置文件里定義自動化腳本。比如在 Claude 啟動時、讀取文件時、執(zhí)行完工具后自動觸發(fā)某些操作。設(shè)計初衷是做格式化、安全檢查這類自動化任務(wù)

問題在于，這些 hooks 的執(zhí)行不需要用戶確認。Claude Code 默認信任項目目錄下的配置文件

視頻里展示了那段惡意 JSON 代碼的特寫。hooks 字段里嵌著一條 powershell 命令，用來靜默調(diào)起 Windows 攝像頭拍照

惡意 JSON 配置中的 powershell 命令

從 GitHub 上 clone 了一個別人的項目，項目里的配置文件就能在你的電腦上靜默執(zhí)行任意命令。你品一下這個邏輯

你把電腦的控制權(quán)交給了一個 JSON 文件的作者

我們當前的權(quán)限系統(tǒng)并不是 Agent Ready 的

投毒路徑不止一條

分析源碼后會發(fā)現(xiàn)，hooks 配置文件只是攻擊入口之一。Claude Code 的投毒路徑至少有三條：

① hooks 配置投毒

在 .claude/settings.json 里定義惡意的 SessionStart 鉤子，用戶一運行 claude 命令就觸發(fā)。這是視頻里演示的那條路徑

② MCP 配置文件投毒

通過 .mcp.json 文件配置惡意的 MCP 服務(wù)器，繞過用戶審批自動連接外部工具，執(zhí)行任意命令

③ Skill 插件投毒

通過 skill 文件的 frontmatter 區(qū)域定義惡意 hooks，在子代理執(zhí)行任務(wù)時觸發(fā)

三條路徑的共同點：都是 Claude Code 默認信任、不做二次確認的配置入口

投毒方式多種多樣，防不勝防

CVE-2025-59536：這個問題早就被盯上了

視頻里的實測和安全公司 Check Point Research 在 2025 年 7 月報告給 Anthropic 的漏洞指向同一個問題

CVE-2025-59536，CVSS 評分 8.7，攻擊者可以通過倉庫級別的配置文件實現(xiàn)遠程代碼執(zhí)行和 API 密鑰竊取。觸發(fā)條件只是 clone 并打開一個惡意項目

Anthropic 在 2025 年 8 月到 10 月間逐步修復(fù)了這些問題。但這次源碼泄露讓攻擊面變得更清晰。51 萬行源碼包含了完整的安全架構(gòu)、六級權(quán)限驗證系統(tǒng)、所有 hooks 事件類型的實現(xiàn)細節(jié)

Check Point 研究員在報告里寫的一句話很準確：曾經(jīng)作為被動數(shù)據(jù)的配置文件，如今成了主動執(zhí)行路徑的控制器

這件事跟普通人有什么關(guān)系

如果你不用 Claude Code，這個漏洞跟你沒有直接關(guān)系

但從網(wǎng)絡(luò)安全的角度，這件事揭示了一個正在成型的趨勢：AI 開發(fā)工具正在獲得越來越多的系統(tǒng)級權(quán)限。它們可以讀寫文件、執(zhí)行命令、連接外部服務(wù)。當這些工具的配置文件可以被第三方控制時，攻擊面就從「你運行了一段惡意代碼」變成了「你打開了一個正常的項目文件夾」

傳統(tǒng)的安全意識告訴你不要運行來路不明的 .exe 文件。但在 AI Agent 時代，一個 JSON 文件就能做到同樣的事。這個認知需要更新

在 AI Agent 時代，配置文件就是可執(zhí)行文件

如果你身邊有用 Claude Code、Cursor、Windsurf 或者其他 AI 編程工具的朋友，建議轉(zhuǎn)發(fā)給他們看一眼

怎么排查和防護

立即檢查你本地所有項目的 .claude/settings.json，看 hooks 字段里有沒有可疑命令

具體操作：

→更新 Claude Code 到最新版本：npm install @anthropic-ai/claude-code@latest

→檢查全局配置 ~/.claude/settings.json 和每個項目目錄下的 .claude/settings.json，重點看 hooks 字段里的 command 值

→檢查 .mcp.json 文件，確認沒有指向未知服務(wù)器的 MCP 配置

→檢查已安裝的 skill 插件，看 frontmatter 里有沒有定義 hooks

→近期謹慎 clone 不熟悉的開源項目，尤其是包含 .claude 目錄的

如果配置文件里出現(xiàn)了 curl、wget、powershell 或者指向外部 URL 的命令，大概率有問題

視頻最后 Jack 說了一句：AI 工具正在接管開發(fā)者的鍵盤，但接管能力的同時，不應(yīng)該接管信任

以上內(nèi)容的全部 credits 歸 Jack Cui。視頻版在 B 站，搜索「全網(wǎng)首發(fā)，Claude Code 高危漏洞解析」

也可以直接訪問：www.bilibili.com/video/BV1b195B4EX3

關(guān)于 Jack Cui

Jack Cui 是全網(wǎng)第一個公開實測并演示 Claude Code hooks 高危漏洞的人，并授權(quán)本號首發(fā)圖文解析

Jack Cui， Jack-Cherish @ GitHub

算法工程師，Python 領(lǐng)域頭部開發(fā)者

github.com/Jack-Cherish

GitHub 中國區(qū)粉絲榜 第 43 名，近萬 followers。開源項目總 star 4 萬+，其中 PythonPark（11.3k star）、python-spider（19.5k star）、Machine-Learning（10.3k star）均為中文社區(qū)高人氣項目

space.bilibili.com/331507846

B 站同名 Jack-Cui，持續(xù)輸出 Python、機器學(xué)習、AI 工具相關(guān)內(nèi)容

注：本文撰寫時（2026 年 4 月 1 日），Anthropic 官方源已推送修復(fù)版本

請立即更新到最新版（Claude Code 不一定會自動更新）