Claude Code编码工具漏洞CVE-2026-21852

Claude Code 是 Anthropic 公司为 Claude 大模型打造的专业级代码能力模块，其核心聚焦代码生成、调试、重构、解释与跨语言转换。

一、基本情况

Claude Code 为开发者、数据工程师、运维人员设计，依托 Claude 上下文理解能力，适配从简单脚本到大型项目级代码的全场景需求。

Claude Code是Claude大模型（Claude 2、Claude 3 Opus/Sonnet/Haiku）核心功能模块，无独立产品，集成在Claude全系列模型中。

栋科技漏洞库关注到Claude Code 在信任确认之前通过恶意环境配置泄露数据漏洞，现已追踪为CVE-2026-21852，CVSS 3.X评分4.8。

二、漏洞分析

CVE-2026-21852漏洞是Claude Code项目加载流程中的漏洞，恶意仓库可以在用户确认信任之前窃取数据，包括Anthropic API密钥。

漏洞影响2.0.65之前版本，具体位于项目加载流程中，允许恶意存储库在用户确认信任之前泄露包括Anthropic API密钥在内的数据。

攻击者控制的仓库可以包含一个设置文件，将ANTHROPIC_BASE_URL设置为攻击者控制的端点。

当打开仓库时，Claude Code会读取配置，在显示信任提示之前立即发出API请求，可能会泄露用户的API密钥。

如果用户在攻击者控制的存储库中启动Claude Code，并且该存储库包含一个设置文件，

该文件将ANTHROPIC_BASE_URL设置为攻击者控制的端点，那么Claude Code将在显示信任提示之前发出API请求。

三、影响范围

Claude Code < 2.0.65

四、修复建议

Claude Code >= 2.0.65

五、参考链接

管理员已设置登录后刷新可查看