近日,安全研究员 aniziki 公开披露了 Claude Code 存在的一处安全防护机制漏洞,该漏洞允许用户通过特定的侧信道攻击手法绕过模型的安全护栏。问题的核心在于一个看似不起眼的命令 `/btw`。在 Claude Code 的正常设计逻辑中,`/btw` 命令主要用于在对话流中插入附注或旁白,然而该命令实际上运行在一个独立于主对话环境的“侧信道”处理逻辑之中。研究发现,Claude 的安全策略主要绑定了面向用户的主聊天界面,而未能完全覆盖到底层的工具调用能力。这导致了一种“执行差距”:当用户在主对话中发送被安全策略拦截的请求时,如果将其转移到 `/btw` 这一侧信道环境,模型竟会正常响应并生成原本被禁的内容。攻击者可以进一步利用 Claude 的对话机制,将侧信道生成的答案 Fork(派生)回正常的主会话环境中,从而在避开拦截的情况下执行恶意代码或获取受限信息。值得注意的是,该漏洞并非针对模型核心对齐机制的通用“越狱”,模型本身仍能识别并拒绝明显的恶意操作,但应用层面的过滤机制失效已足以带来严重的安全隐患,暴露了当前 AI 编程工具在主控层与执行层权限控制上的不一致性。
事件分析
💡 核心观点:AI安全不能仅依赖模型层面的对齐,必须正视Agent架构中侧信道可能绕过应用层护栏的执行风险。
原文链接:Linux.do





