Claude Code RCE 취약점: 악성 링크 클릭만으로 원격 명령 실행 가능

Anthropic이 개발한 Claude Code CLI 도구에서 최근 심각한 원격 코드 실행 취약점(CVE 미할당)이 발견되었습니다. 공격자는 피해자가 특수 제작된 deeplink를 클릭하도록 유도하는 것만으로 대상 장치에서 아무런 확인 절차 없이 임의 명령을 자동 실행할 수 있습니다. 이 취약점은 Claude Code 2.1.118 버전에서 이미 패치되었습니다.

보안 연구원 Joernchen(0day.click 소속)이 Claude Code의 소스 코드 감사 중 이 결함을 발견했습니다. 문제의 원인은 도구가 claude-cli:// 프로토콜을 처리하는 인자 파서에 있습니다. 이 파서는 URI 내 --prefill 옵션을 엄격히 검증하지 않습니다. 공격자는 악성 URI를 구성해 SessionStart 훅을 통해 공격 페이로드를 주입할 수 있으며, 동시에 repo 파라미터를 피해자가 로컬에서 신뢰하는 저장소(예: Anthropic 자체의 anthropics/claude-code)로 설정해 경고 없이 명령이 백그라운드에서 조용히 실행되도록 할 수 있습니다.

이 유형의 공격은 비교적 난이도가 낮습니다. 공격자는 무해해 보이는 링크를 제작한 뒤, 소셜 엔지니어링 또는 웹 리디렉션을 통해 사용자가 클릭하도록 유도하면 됩니다. deeplink 핸들러가 악성 인자를 직접 해석하기 때문에 샌드박스 우회나 권한 상승이 필요하지 않습니다. Anthropic은 긴급 업데이트를 배포해 인자 해석 로직을 수정했습니다. 모든 사용자는 즉시 2.1.118 이상 버전으로 업그레이드하고, 출처가 불분명한 claude-cli:// 링크는 주의해서 다루는 것이 좋습니다.

평가: 이번 취약점은 CLI 도구의 딥링크 처리가 점점 더 위험한 공격 표면이 되고 있음을 다시 한 번 경고합니다. 개발자는 URI 핸들러를 구현할 때 모든 인자에 대해 화이트리스트 필터링과 사용자 확인 메커니즘을 기본으로 적용해야 합니다. 그렇지 않으면 사소한 인자 해석 실수가 완전한 원격 제어 위험으로 이어질 수 있습니다.