Claude Code RCE漏洞：点击恶意链接可执行任意命令

Anthropic旗下的Claude Code CLI工具近日被曝存在一个严重的远程代码执行漏洞（CVE暂未公布）。攻击者只需诱骗受害者点击特制的deeplink，即可在目标设备上静默执行任意命令，无需任何交互确认。该漏洞已在Claude Code 2.1.118版本中完成修复。

安全研究员Joernchen（来自0day.click）在对Claude Code进行源码审计时发现了这一缺陷。漏洞根植于工具处理claude-cli://协议的参数解析器——它未能对URI中的--prefill选项进行严格校验。攻击者可以构造恶意URI，利用SessionStart钩子注入攻击载荷；同时将repo参数设为受害者在本地已信任的仓库（例如Anthropic自家的anthropics/claude-code），使得命令在后台静默执行，不弹出任何警告。

此类攻击门槛较低：攻击者只需制作一条看似无害的链接，通过社交工程或网页跳转诱导用户点击。由于deeplink处理器会直接解析恶意参数，甚至无需绕过沙箱或提权。Anthropic已紧急发布更新修补解析逻辑，建议所有用户立即升级至2.1.118或更高版本，并谨慎对待来源不明的claude-cli://链接。

点评：本次漏洞再次敲响警钟——CLI工具的深度链接处理正在成为攻击面高危地带。开发者在实现URI处理器时，应默认对所有参数进行白名单过滤并加入用户确认机制，否则一个看似微小的解析失误就可能酿成完整的远程控制风险。