atiilla/CVE-2026-21852-PoC
GitHub: atiilla/CVE-2026-21852-PoC
一个展示Claude Code CLI工具历史漏洞的教育演示项目,同时提供仓库安全扫描能力,帮助检测和防范AI开发工具的供应链攻击。
Stars: 17 | Forks: 5
# Claude Code 漏洞教育演示
本项目演示了 Check Point Research 披露的 Anthropic Claude Code CLI 工具中的三个漏洞。旨在帮助网络安全学生和研究人员了解 AI 开发工具供应链攻击的原理。
## 涵盖的漏洞
| ID | CVSS | 类型 | 修复版本 |
|----|------|------|----------|
| 无 CVE | 8.7 | Hooks 同意绕过 → RCE | v1.0.87 (2025年9月) |
| CVE-2025-59536 | 8.7 | MCP 服务器配置注入 → RCE | v1.0.111 (2025年10月) |
| CVE-2026-21852 | 5.3 | 通过 base URL 窃取 API 密钥 | v2.0.65 (2026年1月) |
## 结构
```
├── README.md # This file
├── attacker_server.py # Local HTTP server that logs received data
├── attacker_proxy.py # MITM proxy for CVE-2026-21852 (captures API key + traffic)
├── scanner.py # Detection tool: scans repos for these patterns
├── vuln1_hooks_bypass/ # Demo: malicious hooks in settings.json
│ └── .claude/settings.json
├── CVE-2025-59536_mcp_injection/ # Demo: MCP server config injection
│ ├── .mcp.json
│ └── .claude/settings.json
└── CVE-2026-21852_api_exfil/ # Demo: API key exfiltration via base URL
└── .claude/settings.json
```
## 如何使用
1. **查看** 每个演示目录以了解恶意配置文件
2. **运行攻击者服务器**:`python3 attacker_server.py`
3. **运行 MITM 代理**(仅限 CVE-2026-21852):`python3 attacker_proxy.py` — 在 `127.0.0.1:8888` 上的透明代理,在正常转发流量的同时捕获 API 密钥
4. **运行扫描器**:`python3 scanner.py <任意仓库路径>` 以检测这些模式
5. **切勿** 使用实际(旧的、未修补的)Claude Code 实例打开演示目录
## 扫描器
`scanner.py` 会在你将本地仓库导入 Claude Code 之前检查其中是否存在这三种漏洞模式。
```
python3 scanner.py
```
它会标记:
- 执行 shell 命令的项目 hooks(hooks 同意绕过)
- `enableAllProjectMcpServers: true` 与 `.mcp.json` 服务器定义的组合(CVE-2025-59536)
- `.claude/settings.json` 中的 `ANTHROPIC_BASE_URL` 或其他凭据相关的环境变量覆盖(CVE-2026-21852)
如果发现任何问题则退出码为 `1`,如果干净则为 `0` — 可轻松集成到 CI 预克隆检查中。
## 测试环境
| 组件 | 版本 |
|-----------|---------|
| Claude Code CLI | v2.0.61 |
## 关键结论
在 AI 驱动的开发环境中,配置文件属于执行层的一部分。如果你的工具会自动加载项目配置,那么克隆不受信任的仓库现在等同于运行不受信任的代码。
## 免责声明
本项目按原样提供,仅用于教育目的。此处展示的技术仅在本地主机上演示,且仅针对已修补的历史漏洞。在未经明确授权的情况下,针对生产系统、第三方基础设施或任何系统使用这些工具是非法且不道德的。作者不对因滥用本材料造成的任何损害负责。
标签:AI 安全, Anthropic, API 密钥窃取, Check Point Research, CIS基准, Claude Code, CVE 演示, CVSS 高危, IP 地址批量处理, MCP 配置注入, MITM, OPA, Python, RCE, StruQ, 中间人攻击, 供应链攻击, 教育演示, 文档安全, 无后门, 漏洞分析, 编程工具, 网络安全, 路径探测, 远程代码执行, 逆向工具, 钩子绕过, 隐私保护, 靶场