【安全资讯】研究揭示：通过Git身份欺骗可诱骗Claude AI代码审查工具批准恶意代码

概要：

在人工智能日益融入软件开发流程的今天，一项新的安全研究揭示了AI代码审查工具存在的潜在风险。安全公司Manifold Security本周披露，通过简单的Git命令伪造开发者身份，即可成功欺骗Anthropic公司的Claude AI模型，使其批准看似来自可信维护者的恶意代码提交。这一发现凸显了在自动化工作流中过度依赖表面信任信号的严重隐患。

主要内容：

Manifold Security的研究团队演示了攻击过程：攻击者仅需使用Git命令设置虚假的作者姓名和邮箱，即可伪造一个看似来自合法项目维护者的代码提交（commit）。当这个伪造的提交进入基于Claude构建的自动化代码审查流程时，AI模型并未对代码变更本身进行充分的安全评估，而是似乎赋予了提交者身份过高的信任权重，从而批准了恶意代码。

问题的核心并非Git漏洞，因为提交元数据本身一直相对容易伪造，除非强制执行签名等额外控制措施。真正的风险在于，当这些元数据被自动化系统视为信任信号时，就为攻击者创造了可乘之机。在现实场景中，这种信任规则可能表现为对组织成员身份、过往贡献记录或维护者名单的检查，但其底层逻辑缺陷相同——这些都无法真正证明是谁实际做出了代码变更。

Manifold将此情况与近期发生的OpenClaw Cline软件包投毒事件相类比，两者都是利用了对“可靠来源”的预设信任，使恶意内容得以在受信环境中潜伏并造成损害。区别在于，像Claude这样的AI系统应用信任的方式更为僵化。人类审查员可能会对维护者做出的意外变更提出质疑，而自动化审查工具则更倾向于一致地遵循其内部信号，若其中包含作者身份，伪造身份便成为攻击入口。

随着开源项目日益依赖AI工具来自动审查和批准拉取请求（PR），此类代理极易被欺骗，这为威胁行为者绕过安全控制、污染流行代码仓库创造了机会。Manifold的结论是，安全护栏不能完全依赖于模型本身。如果缺乏其他机制来核验操作者身份，恶意代码将不仅被建议，更可能被直接推送至生产环境。