Claude Code漏洞遭黑客釣魚利用，加密用戶成攻擊目標

安全風險再次來襲。近日，安全研究社群曝光了Anthropic旗下Claude Code工具中存在的一項嚴重漏洞，該漏洞允許黑客在完全繞過用戶授權的情況下執行任意命令，已有實際的攻擊案例出現。

高危提權漏洞正在被黑客濫用

這項編號為CVE-2025-64755的漏洞涉及權限提升和程式碼執行兩個關鍵安全問題。最嚴重的是，攻擊者無需獲得任何用戶操作確認，就能直接在系統上執行指令。慢霧安全團隊研究員23pds轉發了來自國際安全研究員Adam Chester的詳細報告，確認了這一漏洞的真實性。

該漏洞尤其危險的地方在於，完整的利用程式碼（PoC）已經在網路上公開，這意味著任何具備基礎技術能力的黑客都可以輕鬆獲得攻擊工具。根據追蹤，專業黑客組織已經開始利用這個漏洞針對加密貨幣用戶進行釣魚攻擊。

黑客正瞄準加密用戶進行定向攻擊

加密領域之所以成為黑客的優先目標，是因為一旦攻擊成功，受害者的數位資產可能瞬間被轉移。研究員23pds特別指出，已有證據表明黑客正在利用這個漏洞進行針對加密用戶的釣魚活動。攻擊者通常會偽造合法的應用場景，誘導用戶運行包含惡意命令的程式碼片段。

類似威脅也曾出現在Cursor工具中

值得注意的是，這並非程式碼編輯工具生態中首次出現此類嚴重漏洞。此前廣受歡迎的Cursor工具也曾曝光過類似的提權和命令執行漏洞，兩者的攻擊原理基本相同，都是利用工具的權限管理缺陷來實現非法命令執行。這提示業界，AI輔助程式設計工具的安全防護需要更多重視。