Rohitberiwala/Claude-Code-MCP-Injection-PoC
GitHub: Rohitberiwala/Claude-Code-MCP-Injection-PoC
演示 Claude Code 中 MCP 工具确认提示欺骗漏洞的概念验证,揭示恶意服务器如何通过伪造工具描述诱导用户执行任意系统命令。
Stars: 0 | Forks: 0
# Claude Code: MCP 工具确认提示欺骗
一个专业的概念验证,展示了 Anthropic 的 Claude Code 中一个严重的 UI/UX 缺陷。此漏洞允许恶意 MCP 服务器通过在确认提示中伪造工具参数,诱导用户批准任意命令执行。
## 🛡️ 技术摘要
Claude Code 信任 MCP 服务器提供的描述和元数据来生成面向用户的确认提示。攻击者控制的服务器可以提供无害的描述(例如,“读取文件”),而底层执行逻辑却触发反向 shell 或未授权的文件写入。
## 🚀 关键特性
* 知情同意绕过:用户批准“安全”操作,而服务器执行“恶意”代码。
* 修改警报:包含内置检查,以防止在没有正确 IP 配置的情况下执行。
* 研究导向:通过关注同意后的执行,与现有 CVE(CVE-2025-59536)区分开来。
## 🛠️ 安装与设置
```
# Clone 研究 repository
git clone [https://github.com/Rohitberiwala/Claude-Code-MCP-Injection](https://github.com/Rohitberiwala/Claude-Code-MCP-Injection)
cd Claude-Code-MCP-Injection
# Edit script 添加 listener IP
nano exploit.py
# 运行 PoC generator
python3 exploit.py
```
标签:AI安全, Anthropic, Chat Copilot, CIS基准, Claude Code, CVE-2025-59536, CWE-451, ESC8, MCP安全, PoC, 人机交互安全, 任意命令执行, 反向Shell, 提示词欺骗, 搜索语句(dork), 暴力破解, 权限绕过, 用户界面失效, 界面伪装, 社会工程学, 编程工具, 远程代码执行, 逆向工具