一句话看懂:安全研究人员在 Mozilla 的 GenAI 漏洞赏金平台上发现了一种新型攻击向量:攻击者可以利用一个看似正常的 GitHub 仓库,通过间接提示注入,诱使 AI 编码工具 Claude Code 在运行时从 DNS 记录中拉取并执行恶意命令,从而完全控制开发者机器。该攻击的核心在于恶意代码从未直接出现在仓库中,因此能绕过代码扫描、代码审查和 AI 代理的检测。
事件核心:发生了什么
2026年6月29日,来自0DIN安全团队的研究人员在 Mozilla 的 GenAI 漏洞赏金平台上报告了此漏洞。攻击者通过创建一个外观正常的 GitHub 仓库,在仓库的安装脚本中嵌入一种特殊触发逻辑。当开发者使用 Claude Code 打开该仓库并运行安装时,脚本会从动态 DNS 条目中拉取一条命令并在运行时执行。由于恶意代码仅存在于 DNS 记录中,而非仓库文件本身,传统的代码扫描工具和 Claude Code 的 AI 代理均无法识别。Claude Code 在安装过程中遇到常规错误信息后会自动执行该脚本,进而向攻击者开放一个反向 Shell。攻击者借此可窃取 API 密钥、登录凭证,并在受感染机器上建立持久化访问。研究人员指出,只需要将一条仓库链接放在职位招聘帖、教程或 Slack 消息中,任何使用 AI 编码工具打开该仓库的开发者都会中招。
为什么重要
这一发现揭示了 AI 编码工具安全性的一个深层漏洞:当前 AI 代理在执行用户或第三方仓库提供的脚本时,缺乏足够的行为审查和验证机制。攻击者无需在仓库中引入显式的恶意代码,利用 AI 工具自动处理错误的特性即可执行任意命令。这不仅针对 Claude Code,对任何信任第三方仓库安装脚本的 AI 编码工具都构成威胁。从安全角度看,它打破了传统“代码即证据”的检查逻辑,迫使安全团队重新评估 AI 编码流程中“信任链”的边界。如果该攻击向量在行业内被广泛利用,将严重动摇开发者对 AI 编码工具在敏感环境下使用的信心,进而影响 AI 辅助编程工具的普及率。
对用户/开发者/创作者的影响
对开发者而言,最直接的影响是必须改变使用习惯:不应在 AI 编码环境中不假审查地执行任何来自第三方仓库的设置脚本。研究人员给出的修复建议是——AI 代理应在运行安装脚本前向用户展示脚本内容,获得明确授权。开发者个人需要将第三方仓库中的设置脚本视为不可信代码,并在沙箱或隔离环境中验证后再运行。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对 AI 工具平台(如 Anthropic 的 Claude Code)而言,这一事件是安全功能缺失的明确信号。平台必须尽快增加安装脚本的预览和确认环节,否则类似攻击将导致开发者资源和数据泄露事件频发,损害平台声誉。
对于使用 AI 编码工具的企业团队,则需要更新内部安全策略,加强对外部仓库引入代码的审查流程,避免因随意打开仓库链接而遭受攻击。
值得关注的后续
目前公开信息显示,该漏洞已在 Mozilla 的 GenAI 漏洞赏金平台上报并披露,但尚未有修复补丁或产品更新公告。值得关注以下三点:
1. Anthropic 是否会迅速更新 Claude Code,增加脚本执行前的用户确认机制,并承诺在安全报告中说明修复细节。
2. 其他 AI 编码工具(如 GitHub Copilot 等)是否也存在类似风险,安全社区是否会展开大规模跨平台测试并发布安全警告。
3. 是否会出现以此攻击向量为基础的公开漏洞利用工具,以及各大安全厂商是否推出针对此类“动态DNS注入+AI代理执行”的检测规则。
![[推广] [FK Claude] 满血 CC MAX 分组降价啦](https://www.chat-gpts.plus/wp-content/uploads/2026/06/ai_cover_5-1013-768x403.jpg)
