Lỗ hổng RCE Claude Code: Chỉ cần nhấp vào liên kết độc hại là có thể thực thi lệnh tùy ý

Công cụ Claude Code CLI của Anthropic gần đây bị phát hiện có lỗ hổng thực thi mã từ xa nghiêm trọng (CVE chưa được công bố). Kẻ tấn công chỉ cần lừa nạn nhân nhấp vào một deeplink đặc biệt là có thể âm thầm thực thi lệnh tùy ý trên thiết bị mục tiêu mà không cần bất kỳ xác nhận tương tác nào. Lỗ hổng này đã được khắc phục trong phiên bản Claude Code 2.1.118.

Nhà nghiên cứu bảo mật Joernchen (từ 0day.click) đã phát hiện lỗi này trong quá trình kiểm tra mã nguồn của Claude Code. Lỗ hổng bắt nguồn từ bộ phân tích tham số xử lý giao thức claude-cli:// – nó không kiểm tra chặt chẽ tùy chọn --prefill trong URI. Kẻ tấn công có thể tạo một URI độc hại, sử dụng hook SessionStart để tiêm tải trọng tấn công; đồng thời đặt tham số repo thành một kho lưu trữ mà nạn nhân đã tin cậy cục bộ (ví dụ: anthropics/claude-code của chính Anthropic), khiến cho lệnh được thực thi âm thầm ở nền mà không hiển thị bất kỳ cảnh báo nào.

Loại tấn công này có rào cản thấp: kẻ tấn công chỉ cần tạo một liên kết trông vô hại, dụ người dùng nhấp vào thông qua kỹ thuật xã hội hoặc chuyển hướng trang web. Vì trình xử lý deeplink sẽ trực tiếp phân tích các tham số độc hại, thậm chí không cần vượt qua sandbox hoặc leo thang đặc quyền. Anthropic đã khẩn cấp phát hành bản cập nhật sửa lỗi logic phân tích, khuyến nghị tất cả người dùng nâng cấp ngay lên phiên bản 2.1.118 hoặc cao hơn, và cẩn trọng với các liên kết claude-cli:// không rõ nguồn gốc.

Đánh giá: Lỗ hổng này một lần nữa gióng lên hồi chuông cảnh báo – xử lý deeplink trong các công cụ CLI đang trở thành khu vực nguy hiểm trên bề mặt tấn công. Khi triển khai bộ xử lý URI, nhà phát triển nên mặc định lọc tham số theo danh sách trắng và thêm cơ chế xác nhận từ người dùng, nếu không một sai sót phân tích nhỏ tưởng chừng như vô hại có thể dẫn đến rủi ro kiểm soát từ xa hoàn toàn.