Anthropic Claude Code設計問題，可被MCP劫持竊取OAuth憑證

這個漏洞出在Claude Code配置機制與擴展架構設計。這涉及Claude Code token的致命特徵，包括不安全儲存（存在~/.claude.json目錄下）、能跨執行階段(sessions)重覆使用，能自動刷新(refresh)，且無法追溯token伺服器端來源（看不出token來自攻擊者代理伺服器）。

首先，Claude Code將MCP伺服器的配置和OAuth令牌以明文（Plain Text）形式儲存在本地用戶目錄下的~/.claude.json文件中。攻擊者可發動MCP流量劫持（MCP hijacking）；攻擊者可安裝一個帶有惡意NPM套件，利用postinstall腳本，先從~/.claude.json修改配置，將合法MCP伺服器位址更改為攻擊者控制的代理伺服器（Proxy）位址。二者，修改相關標誌位（flag），系統誤以為用戶已經點擊過「信任該目錄」，繞過Claude Code的安全提示視窗。這個階段是中間人攻擊，對開發人員用戶來說，Claude Code運作完全正常，因此很難察覺已被監控。

一旦配置被竄改，Claude Code的所有MCP通訊都會經過攻擊者的伺服器，包括OAuth令牌(token)等。由於取得了OAuth token，攻擊者便能繞過密碼、也無需再經過多因素驗證。即使開發者手動修改回正確位址或更換token，惡意腳本仍可能在下次執行時將其改回。最後，攻擊者可利用受害者權限，在其GitHub儲存庫中植入惡意程式碼，進而影響更大規模的下游用戶。

不過，Anthropic官方認為這不在其安全修補範圍內，理由是攻擊者必須先獲取用戶本機的執行權限（例如透過npm安裝惡意套件）。但研究人員指出，隨著AI代理型越來越頻繁接觸敏感資料，這種本地權限的邊界逐漸模糊化，用戶應加強監控~/.claude.json的變動以及不尋常的網路流量。