CVE-2026-35022Anthropic Claude Code CLI和Claude Agent SDK存在严重的操作系统命令注入漏洞。该漏洞源于认证辅助程序在执行配置值时使用了shell=true,且未对输入进行有效验证。攻击者只需能影响认证设置(如修改配置文件或环境变量),即可通过apiKeyHelper、awsAuthRefresh等参数注入Shell元字符。这允许攻击者以当前用户权限执行任意系统命令,进而窃取凭证、泄露环境变量或完全控制自动化环境。该漏洞CVSS评分为9.8,影响范围广且利用难度低。
漏洞核心在于Anthropic Claude工具链处理认证辅助程序时的不安全实现。当系统配置了apiKeyHelper、awsAuthRefresh、awsCredentialExport或gcpAuthRefresh等参数时,应用程序会调用操作系统的Shell来执行这些命令。由于代码直接将配置值传递给Shell且未进行严格的输入过滤或转义,攻击者可以构造包含Shell元字符(如反引号、分号、管道符、命令替换符等)的恶意字符串。攻击者可以通过篡改配置文件或环境变量来植入Payload。当Claude CLI或SDK尝试进行认证操作时,恶意命令随之被执行。利用此漏洞,攻击者可绕过安全限制,读取本地敏感文件(如~/.aws/credentials),窃取云服务API密钥,或将受害机的数据回传至攻击者服务器。由于无需用户交互且无需预先认证,该漏洞在CI/CD环境或开发者机器上极具破坏力。