【安全资讯】Claude Code安全审查功能存在执行恶意代码风险，Checkmarx发布警告

概要：

人工智能代码助手的安全审查功能本应提升软件开发安全性，但最新研究发现Anthropic公司的Claude Code在自动化安全检测过程中可能执行恶意代码，反而引入新的安全风险。这一发现对依赖AI进行代码审查的开发团队具有重要意义。

主要内容：

安全公司Checkmarx发现，Claude Code的/security-review命令虽然能成功检测XSS跨站脚本和权限绕过等简单漏洞，但在面对精心构造的恶意代码时存在严重缺陷。

研究团队通过创建一个名为"sanitize"的函数进行测试，该函数带有描述安全检查的注释，但实际上运行明显不安全的进程。Claude Code的安全审查未能识别这一威胁，错误评估其"安全影响：无"。

更严重的是，Claude Code在安全审查过程中会生成并执行自己的测试用例。这意味着审查过程本身可能执行隐藏的恶意代码，特别是在处理第三方库时存在重大风险。

Checkmarx建议开发团队采取四项安全措施：隔离开发机与生产环境访问、禁止开发代码使用生产凭证、要求人工确认所有高风险AI操作，以及加强终端安全防护。