Взлом Claude Code: 8 способов обхода защиты с помощью регулярных выражений

🤖 Claude Code взломали 8 способами — и всё из-за regex'ов

Исследователь безопасности RyotaK обнаружил, как обойти защиту в инструменте Anthropic для запуска команд в терминале.

Проблема в том, что Claude Code использовал блоклист через регулярки, чтобы разрешить «безопасные» команды вроде echo или sed. Но регексы оказались дырявыми:

▫ man --html="touch /tmp/hack" — запуск кода через «безопасный» man

▫ sed 's/test/команда/e' — модификатор e выполняет шелл

▫ git ls-remote --upload-pa=... — Git понимает сокращённые флаги, а регекс — нет

▫ Цепочки переменных Bash ${var@P} для обхода фильтров

Всё это позволяло выполнять произвольные команды без подтверждения пользователя 😱

Результат: CVE-2025-66032, фикс в v1.0.93. Anthropic сменила подход с блоклиста на алловлист — хороший урок: в безопасности лучше разрешать только известное, а не пытаться угадать всё запрещённое.

Подписывайтесь на Telegram Ампилов про ИТ.