Claude Code에서 원격 코드 실행 및 API 키 탈취 가능한 취약점 3건 발견 (패치 완료)

원문: thehackernews.com | 토론: GeekNews · 댓글 0개

핵심 요약 Check Point Research가 Claude Code에서 3가지 보안 취약점을 발견했다. 신뢰할 수 없는 저장소를 클론하거나 열기만 해도 공격이 가능한 구조였다. 첫 번째는 .claude/settings.json의 프로젝트 훅을 이용한 코드 인젝션(CVSS 8.7), 두 번째와 세 번째는 CVE 미할당 상태로 API 키 탈취가 가능했다. 모든 취약점은 패치 완료됐으나, AI 코딩 도구의 보안 검증 필요성을 다시 확인시켰다.

💡 실무 포인트: Claude Code 사용 시 신뢰할 수 없는 저장소 클론 전 .claude/ 디렉토리 검사, 최신 버전 업데이트 필수