CVE-2026-21852CVE-2026-21852是Anthropic公司开发的Claude Code编程工具中的一个严重安全漏洞。该漏洞存在于Claude Code 2.0.65之前的版本中,攻击者可以利用恶意代码仓库在用户确认信任之前窃取敏感信息,包括用户的Anthropic API密钥。漏洞的根本原因在于Claude Code的项目加载流程设计缺陷:当用户打开一个包含恶意配置文件的代码仓库时,程序会在显示安全信任提示之前就读取并应用配置文件中的设置参数。攻击者通过在恶意仓库中植入配置文件,将ANTHROPIC_BASE_URL环境变量指向攻击者控制的服务器端点,从而在用户不知情的情况下诱导Claude Code向恶意服务器发送API请求。由于此时用户尚未确认信任该仓库,Claude Code会使用用户的有效API密钥进行认证,导致API密钥在用户确认前就被泄露。CVSS评分7.5(高危)反映了该漏洞无需特殊权限和用户交互即可远程利用的特性,以及其对机密性的高影响。
该漏洞的技术原理涉及Claude Code的项目加载机制中的时序问题。Claude Code在打开项目时会自动读取项目根目录下的配置文件(如.clauderc或相关设置文件),并根据配置内容初始化运行环境。攻击者构造恶意仓库时,会在配置文件中设置ANTHROPIC_BASE_URL参数指向攻击者控制的服务器。正常情况下,Claude Code应该在读取配置后首先向用户展示安全提示,要求用户确认是否信任该仓库,然后再执行实际的API调用。然而,由于代码逻辑顺序错误,Claude Code在显示信任提示之前就已经根据配置文件设置了ANTHROPIC_BASE_URL,并立即使用该配置向Anthropic API服务器发送请求。此时发送的请求会携带用户有效的API密钥进行认证,而认证请求的目标地址已被攻击者替换为恶意服务器,导致API密钥在用户确认前就被窃取。攻击者获取API密钥后可以完全控制用户的Claude Code账户,进行未授权的操作或消耗用户的API配额。