Claude Code теряет защиту после 50 команд: что нашли исследователи
Израильская Adversa AI обнаружила, что deny-правила Claude Code перестают работать при длинных цепочках команд. Уязвимость открывает путь для prompt-injection атак.
Влад Макаровпроверил и опубликовалСамый обсуждаемый пост на Reddit за неделю (7500+ голосов) — не про новую модель и не про прорыв в бенчмарках. Он про то, как Claude Code тихо перестаёт защищать пользователей, если получает достаточно длинную команду.
Что произошло
Израильская компания Adversa AI обнаружила уязвимость в механизме deny-правил Claude Code. Эти правила позволяют пользователям блокировать опасные команды — например, запретить агенту использовать curl для сетевых запросов.
Проблема оказалась в жёстком лимите: переменная MAX_SUBCOMMANDS_FOR_SECURITY_CHECK в файле bashPermissions.ts установлена на 50. Если bash-команда содержит больше 50 подкоманд, deny-правила просто перестают проверяться. Агент переключается на запрос разрешения у пользователя — но в автоматическом режиме работы это может означать полный обход защиты.
Исследователи Adversa создали простой proof-of-concept: 50 безобидных подкоманд true, а за ними — curl с произвольным URL. Система не заблокировала запрос, хотя curl был явно запрещён в настройках.
Почему это опасно
Ключевой момент — уязвимость открывает путь для prompt-injection атак. Вредоносный файл .claude.md или CLAUDE.md в репозитории может содержать инструкции, заставляющие AI генерировать длинные цепочки команд, замаскированные под легитимный процесс сборки. 50 команд — это не так уж много для билд-скрипта.
Adversa подчёркивает: лимит в 50 подкоманд был разумным предположением для команд, написанных человеком. Но он не учитывал сценарий, в котором команды генерирует сам AI под влиянием инъекции.
Находка стала возможной благодаря утечке исходного кода Claude Code неделей ранее. Код содержал внутренний комментарий с номером тикета CC-643, прямо указывающий на осознание проблемы внутри Anthropic.
Что дальше
Anthropic пока не выпустила исправление, но в утёкшем коде уже есть закомментированные варианты более строгой проверки. Для пользователей Claude Code главный практический совет — не запускать агента на непроверенных репозиториях с автоматическим одобрением команд.
