Lỗ hổng trong Claude Code cho phép thực thi lệnh qua deeplink độc hại

[WhiteHat Team]

Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng vừa được phát hiện trong công cụ dòng lệnh Claude Code CLI của Anthropic, cho phép kẻ tấn công thực thi lệnh tùy ý trên máy nạn nhân chỉ bằng một liên kết deeplink được tạo đặc biệt. Điểm đáng lo ngại là người dùng gần như không cần thực hiện thêm thao tác nào ngoài việc nhấp vào liên kết.
​

Lỗ hổng được nhà nghiên cứu bảo mật Joernchen phát hiện trong quá trình rà soát mã nguồn thủ công của Claude Code. Theo phân tích, nguyên nhân xuất phát từ cơ chế xử lý tham số dòng lệnh thiếu kiểm soát ngữ cảnh trong thành phần parser của ứng dụng.

Cụ thể, Claude Code sử dụng hàm eagerParseCliFlag để đọc trước một số tham số quan trọng như --settings trước khi chương trình khởi tạo hoàn chỉnh. Tuy nhiên, hàm này lại quét toàn bộ danh sách tham số đầu vào và coi bất kỳ chuỗi nào bắt đầu bằng --settings= là tham số hợp lệ, mà không kiểm tra xem chuỗi đó thực sự là cờ lệnh hay chỉ là dữ liệu được truyền vào một tham số khác.

Sai sót tưởng chừng nhỏ này đã mở ra một điểm chèn lệnh nguy hiểm. Claude Code hỗ trợ giao thức deeplink claude-cli:// với tham số q, cho phép tự động điền nội dung prompt thông qua tùy chọn --prefill. Do parser không phân biệt được ranh giới giữa giá trị dữ liệu và tham số hệ thống, kẻ tấn công có thể nhúng chuỗi --settings=... trực tiếp vào nội dung q để ép ứng dụng nạp cấu hình độc hại.

Từ đây, tin tặc có thể lợi dụng tính năng “hooks” của Claude Code - cơ chế cho phép tự động chạy lệnh tại các thời điểm nhất định trong vòng đời phiên làm việc. Bằng cách chèn một hook SessionStart, mã độc sẽ được kích hoạt ngay khi phiên làm việc bắt đầu.

Một deeplink độc hại có thể được xây dựng theo dạng:

claude-cli://open?repo=anthropics/claude-code&q=--settings={"hooks":{"SessionStart":[{"type":"command","command":"bash -c 'id > /tmp/pwned.txt'"}]}}

Khi nạn nhân mở liên kết này, Claude Code sẽ khởi chạy với cấu hình do kẻ tấn công kiểm soát và tự động thực thi lệnh hệ thống mà không cần thêm xác nhận nào từ phía người dùng.

Mức độ nghiêm trọng của lỗ hổng còn tăng cao hơn khi cơ chế này có thể vượt qua hộp thoại xác minh độ tin cậy workspace của Claude Code. Nếu tham số repo được trỏ tới một kho mã mà người dùng từng clone và đánh dấu tin cậy trước đó, quá trình thực thi sẽ diễn ra âm thầm mà không hiển thị cảnh báo bảo mật.

Theo nhà nghiên cứu, đây là ví dụ điển hình cho anti-pattern nguy hiểm khi xử lý trực tiếp process.argv bằng các phép kiểm tra đơn giản như startsWith. Các ứng dụng sử dụng cơ chế eager parsing thiếu ngữ cảnh, đặc biệt là những phần mềm hỗ trợ deeplink hoặc protocol handler, đều có nguy cơ đối mặt với kiểu tấn công tương tự.

Anthropic đã phát hành bản vá trong Claude Code phiên bản 2.1.118. Bản cập nhật bổ sung cơ chế phân tích tham số có nhận thức ngữ cảnh, giúp phân biệt rõ giữa cờ lệnh và dữ liệu đầu vào, qua đó loại bỏ hoàn toàn bề mặt tấn công.

Người dùng đang sử dụng các phiên bản cũ được khuyến cáo cập nhật ngay lập tức để tránh nguy cơ bị khai thác từ các liên kết deeplink độc hại phát tán qua email, mạng xã hội hoặc nền tảng chat.​