資安專家發現 Anthropic Claude Code 存在設計缺陷,駭客可透過 MCP 劫持技術竊取用戶的 OAuth 憑證,並利用供應鏈攻擊擴大受害範圍。此攻擊手法隱蔽性高,開發人員可能完全無察覺,導致大量帳號與數據遭竊取。
🔍 防詐解析
駭客利用 Anthropic Claude Code 的特定設計漏洞,發動 MCP 劫持攻擊,在開發者不知情的狀況下竊取 OAuth 憑證,進而控制系統或竊取敏感數據。這種攻擊手法透過供應鏈擴散,使得單一漏洞可能影響下游無數使用者,且因缺乏明顯異常,極難被發現。一般開發者與企業往往過度信任自動化工具,忽略了底層協議的潛在風險,導致防禦失效。建議開發者立即更新相關套件,嚴格審查第三方工具權限,並啟用多因素驗證以阻斷憑證竊取路徑。
🚩 紅旗特徵
- •開發者未察覺系統被劫持
- •OAuth 憑證被竊取
- •透過供應鏈擴大攻擊範圍
關鍵字
Claude CodeMCP 劫持OAuth 憑證供應鏈攻擊資安漏洞
查看原始報導 ↗(iThome)