Các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng CVE nghiêm trọng trong Anthropic’s Claude Code. Các lỗ hổng này cho phép kẻ tấn công vượt qua các hạn chế bảo mật và thực thi các lệnh trái phép, với chính trợ lý AI này đã vô tình hỗ trợ quá trình khám phá và phân tích các cuộc tấn công tiềm năng.
Các lỗ hổng được định danh là CVE-2025-54794 và CVE-2025-54795. Chúng minh họa rõ ràng cách các công cụ AI tinh vi, được thiết kế để nâng cao năng suất của nhà phát triển, có thể trở thành phương tiện cho các cuộc xâm nhập mạng hệ thống nghiêm trọng khi các ranh giới bảo mật được triển khai hoặc thực thi không đúng cách.
Việc phát hiện các lỗ hổng CVE này được thực hiện bởi nhà nghiên cứu bảo mật Elad Beber từ Cymulate trong giai đoạn Research Preview của Anthropic. Một điểm đáng chú ý là Beber đã sử dụng chính Claude để thực hiện quy trình thiết kế ngược (reverse-engineer) các cơ chế bảo mật của Claude Code, qua đó AI đã vô tình cung cấp những thông tin chi tiết quan trọng về chính các điểm yếu của nó.
Cách tiếp cận độc đáo này, được gọi là “InversePrompt”, đã làm nổi bật những lỗi cơ bản và đáng kể trong cơ chế xác thực đường dẫn và kiểm soát thực thi lệnh của trợ lý AI. Claude Code, với vai trò là một trợ lý lập trình được hỗ trợ bởi AI của Anthropic, được xây dựng để hỗ trợ các nhà phát triển trong việc viết, phân tích và thực thi mã thông qua các lời nhắc ngôn ngữ tự nhiên.
Mặc dù hệ thống được thiết kế để hoạt động với quyền cấp người dùng và triển khai các kiểm soát bảo mật – bao gồm các hạn chế về thư mục làm việc hiện tại (CWD) và thực thi lệnh theo danh sách trắng (whitelisted command execution) – các lỗ hổng này đã chứng minh rằng những biện pháp này vẫn có thể bị phá vỡ.
Phân tích lỗ hổng CVE-2025-54794: Kỹ thuật Bypass Hạn Chế Đường Dẫn
CVE-2025-54794 là một lỗ hổng nghiêm trọng ảnh hưởng đến cơ chế chứa đựng cốt lõi, vốn có nhiệm vụ giới hạn các hoạt động tệp của Claude Code trong một thư mục làm việc được chỉ định. Đây là một biện pháp bảo mật quan trọng nhằm ngăn chặn AI truy cập hoặc thay đổi các tệp bên ngoài phạm vi cho phép.
Nguyên nhân gốc rễ của lỗ hổng này nằm ở việc triển khai xác thực đường dẫn dựa trên tiền tố một cách sơ khai (naive prefix-based path validation). Kỹ thuật xác thực này kiểm tra xem một đường dẫn có bắt đầu bằng tiền tố của thư mục làm việc hợp lệ hay không. Tuy nhiên, phương pháp này có thể dễ dàng bị phá vỡ thông qua việc thao túng tên thư mục một cách khéo léo.
Khi Claude Code tiến hành xác thực đường dẫn tệp, nó chỉ thực hiện một phép so sánh tiền tố đơn giản giữa đường dẫn được phân giải và thư mục làm việc hiện tại. Kẻ tấn công có thể lợi dụng sự đơn giản này bằng cách tạo ra các thư mục có tên bắt đầu bằng cùng một tiền tố với thư mục làm việc hợp lệ.
Ví dụ minh họa, nếu Claude Code được cấu hình để hoạt động trong thư mục /Users/developer/project, một kẻ tấn công có thể tạo một thư mục có tên /Users/developer/project_malicious. Do /Users/developer/project_malicious chia sẻ cùng tiền tố /Users/developer/project, hệ thống xác thực của Claude Code sẽ chấp nhận đường dẫn này là hợp lệ một cách sai lầm.
Kỹ thuật bypass đường dẫn này không chỉ cho phép truy cập tệp trái phép vào các vị trí ngoài thư mục được chỉ định mà còn có thể được kết hợp với việc sử dụng các liên kết tượng trưng (symbolic links). Sự kết hợp này cho phép kẻ tấn công thực hiện quét toàn bộ hệ thống tệp (filesystem traversal), từ đó có khả năng truy cập và thao túng các tệp nhạy cảm trên toàn bộ hệ thống, dẫn đến rủi ro xâm nhập mạng và rò rỉ dữ liệu nhạy cảm.
Phân tích lỗ hổng CVE-2025-54795: Lỗi Chèn Lệnh và Khai Thác
Lỗ hổng thứ hai, CVE-2025-54795, là một lỗi chèn lệnh nghiêm trọng nhắm mục tiêu trực tiếp vào hệ thống thực thi lệnh của Claude Code. Mặc dù trợ lý AI này duy trì một danh sách trắng (whitelist) các lệnh được phê duyệt, như echo, pwd và whoami, vốn được thực thi mà không yêu cầu xác nhận từ người dùng, việc khử trùng đầu vào (input sanitization) không đúng cách đã mở ra cánh cửa cho các cuộc tấn công chèn lệnh.
Kỹ thuật Khai Thác Lỗ Hổng Chèn Lệnh
Các nhà nghiên cứu đã chứng minh rằng kẻ tấn công có thể tạo ra các payload độc hại một cách tinh vi bằng cách sử dụng các lệnh có sẵn trong danh sách trắng như những trình bao bọc (wrappers) để thực hiện remote code execution tùy ý. Điều này xảy ra khi hệ thống không xử lý chính xác các ký tự đặc biệt trong chuỗi đầu vào, cho phép các lệnh mới được thêm vào và thực thi.
Một ví dụ cụ thể và đơn giản về kỹ thuật khai thác này liên quan đến việc kết thúc tham số chuỗi của một lệnh echo và nối thêm các lệnh độc hại mong muốn. Điều này được minh họa qua payload sau:
echo "\"; malicious_command; echo \""Trong payload này, phần echo "\"; đóng chuỗi lệnh echo ban đầu. Dấu chấm phẩy ; sau đó cho phép bắt đầu một lệnh mới. malicious_command là lệnh độc hại mà kẻ tấn công muốn thực thi. Cuối cùng, echo \"" được thêm vào để đóng dấu ngoặc kép của lệnh echo gốc một cách hợp lệ, giúp che giấu hành vi khai thác.
Vì lệnh cơ sở (echo) vẫn nằm trong danh sách trắng của Claude Code, hệ thống sẽ tự động thực thi toàn bộ payload mà không hề yêu cầu bất kỳ sự xác nhận nào từ phía người dùng. Điều này tạo ra một nguy cơ cực kỳ nghiêm trọng, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống mục tiêu một cách dễ dàng và bí mật, thực thi mã tùy ý với các đặc quyền của ứng dụng.
Hành Động Khắc Phục và Khuyến Nghị Bảo Mật
Anthropic đã phản ứng rất nhanh chóng và chuyên nghiệp ngay sau khi các lỗ hổng CVE này được tiết lộ, bằng việc phát hành các bản vá bảo mật khẩn cấp cho cả hai vấn đề. Để bảo vệ hệ thống của mình khỏi các rủi ro tiềm tàng, người dùng Claude Code được khuyến nghị mạnh mẽ nên cập nhật ngay lập tức.
- Để khắc phục triệt để lỗi bypass hạn chế đường dẫn (CVE-2025-54794), người dùng cần cập nhật lên phiên bản Claude Code v0.2.111 hoặc các phiên bản mới hơn.
- Đối với lỗ hổng chèn lệnh (CVE-2025-54795), việc cập nhật lên phiên bản v1.0.20 hoặc mới hơn là bắt buộc.
Việc áp dụng các bản vá bảo mật kịp thời là một yếu tố then chốt và không thể thiếu để đảm bảo an toàn thông tin cho các ứng dụng và hệ thống sử dụng Claude Code. Động thái này giúp ngăn chặn các cuộc tấn công mạng tiềm ẩn và bảo vệ dữ liệu nhạy cảm.
Những khám phá về các lỗ hổng này một lần nữa nhấn mạnh các thách thức bảo mật cố hữu và phức tạp trong các công cụ phát triển được hỗ trợ bởi AI hiện nay. Chúng cũng làm nổi bật tầm quan trọng tối cao của việc triển khai các cơ chế xác thực đầu vào mạnh mẽ, kiểm soát truy cập nghiêm ngặt và các biện pháp chứa đựng hiệu quả trong các hệ thống cầu nối giữa giao diện ngôn ngữ tự nhiên và các hoạt động cấp hệ thống.
Để biết thêm chi tiết kỹ thuật về nghiên cứu này và các phát hiện liên quan, bạn có thể tham khảo bài viết gốc từ Cymulate, đơn vị đã thực hiện nghiên cứu này: Cymulate Blog Post: CVE-2025-54794, 54795 in Claude Code.
