CVE-2026-21852：Claude Code 中的凭证保护不足漏洞深度解析

CVE-2026-21852: CWE-522: anthropic的claude-code中凭证保护不足

严重性： 中等

类型： 漏洞

CVE： CVE-2026-21852

Claude Code 是一个代理式编码工具。在 2.0.65 版本之前，Claude Code 的项目加载流程存在一个漏洞，允许恶意代码库在用户确认信任之前就窃取数据，包括 Anthropic API 密钥。攻击者控制的代码库可以包含一个设置文件，该文件将 ANTHROPIC_BASE_URL 环境变量设置为攻击者控制的端点。当打开该代码库时，Claude Code 会读取配置并在显示信任提示之前立即发出 API 请求，从而可能泄露用户的 API 密钥。使用标准 Claude Code 自动更新功能的用户已经收到了此修复。进行手动更新的用户建议更新到包含补丁的 2.0.65 版本或最新版本。

技术总结

CVE-2026-21852 影响 anthropic 的 Claude Code，这是一个旨在通过自动化编码任务来协助开发人员的代理式编码工具。在 2.0.65 版本之前，Claude Code 的项目加载流程存在一个漏洞，即在用户确认信任代码库之前，一打开代码库就会立即处理其中的配置文件。具体来说，恶意代码库可以包含一个设置文件，该文件将环境变量 ANTHROPIC_BASE_URL 设置为攻击者控制的端点。当 Claude Code 读取此配置时，它会向攻击者的端点发出 API 请求，并发送诸如 Anthropic API 密钥等敏感数据。此行为过早地暴露了凭证，违反了最小权限和信任验证原则。该漏洞被归类为 CWE-522，表明对凭证的保护不足。CVSS 4.0 向量（AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N）表明攻击可以通过网络远程执行，复杂度低，无需特权，但需要用户交互（打开代码库）。其影响包括可能未经授权访问 Anthropic API，导致数据泄露或 API 功能被滥用。该漏洞已在 2.0.65 版本中修复，启用自动更新的用户很可能已收到此修复。手动更新的用户必须及时升级以降低风险。目前尚未报告在野的已知利用，但该漏洞的性质使其成为打开不受信任代码库的开发者的重大风险。

潜在影响

对于欧洲组织而言，此漏洞存在未经授权披露 Anthropic API 密钥的风险，可能导致 AI 服务被滥用、数据泄露或进一步危害依赖这些 API 的内部系统。在开发环境中使用 Claude Code 的组织可能会因打开恶意代码库而无意中暴露敏感凭证，可能使攻击者能够执行未经授权的 API 调用或收集情报。这可能破坏 AI 驱动工作流程和数据的机密性与完整性。在 GDPR 等数据保护法规严格的行业，影响尤为严重，凭证泄露可能导致违规和声誉损害。此外，将 Claude Code 集成到 CI/CD 管道或协作编码环境中的组织如果引入了恶意代码库，可能面临更高的风险。虽然可用性影响较低，但机密性和完整性风险为中等，需要及时修复。该漏洞也凸显了在开发工具中，尤其是与云 API 交互的工具中，安全处理凭证的重要性。

缓解建议

欧洲组织应确保所有 Claude Code 实例更新至 2.0.65 或更高版本，特别是那些手动更新的实例。实施严格政策，限制打开来自不受信任或未知来源的代码库。采用网络监控来检测来自开发人员工作站的不寻常出站 API 请求。使用环境变量保护或密钥管理解决方案，防止通过配置文件泄露 API 密钥。教育开发人员了解打开不受信任代码库的风险以及验证代码库信任提示的重要性。考虑隔离开发环境或使用沙箱技术来限制潜在凭证窃取的影响。定期审计和轮换 Anthropic API 密钥，以最小化暴露时间。最后，监控 Anthropic API 使用中的任何可疑活动，这些活动可能表明凭证已泄露。

受影响的国家

德国、法国、英国、荷兰、瑞典、芬兰、比利时、意大利

aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7D4c5e3XYaG2J5cA8FYPeFLN2qy1VJaAEBI+0pe066gGVvvk+oWlTu5ienaqXJJW2IIZIzpHB//hX86zo2evzJL