Claude Code expose les identifiants des utilisateurs à d'autres utilisateurs et modifie accidentellement des bases de données étrangères

Selon la surveillance de Beating, un rapport GitHub a révélé que des utilisateurs de Claude Code ont rencontré des adresses IP de serveurs étrangers, des noms d'utilisateur et des mots de passe en clair apparaissant dans le contexte de leurs conversations IA. L'assistant local Claude Code s'est alors automatiquement connecté à ces serveurs non liés via SSH et a exécuté des modifications d'écriture en base de données, exposant ainsi une base de données de production d'un autre utilisateur à des changements non autorisés.

Des analystes de la communauté soupçonnent que la cause racine provient d'une défaillance du mécanisme d'isolation du cache de préfixe de prompt du grand modèle de langage. Si des collisions de clés de cache ou des ruptures d'isolation se produisent entre différents utilisateurs, des informations confidentielles pourraient être concaténées par erreur dans la conversation d'un autre utilisateur, exposant potentiellement des identifiants de serveur et du code source à des parties non intentionnelles. Le problème a été signalé comme lié à la sécurité sur GitHub, en attendant une enquête officielle.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire