Check Point 旗下 Lakera 警示 Claude Code 設定檔包含在公開套件中導致資訊洩漏風險
Check Point Software Technologies 旗下子公司 Lakera,全球領先的代理式 AI 應用程式的 AI 原生安全平台供應商,揭示了使用 Anthropic Claude Code 時伴隨的憑證洩漏風險。當使用 Claude Code 期間生成的設定檔包含認證資訊,並在 npm 套件發布時外部暴露,便可能發生此類洩漏。Lakera 透過掃描發現,已確認的約 13 個 `.claude/settings.local.json` 檔案中,約有 1 個包含機密資訊。
📋 文章處理履歷
- 📰 發表: 2026年4月27日 22:40
- 🔍 收集: 2026年4月27日 14:01
- 🤖 AI分析完成: 2026年4月28日 02:29(收集後12小時27分鐘)
作為網絡安全解決方案的先驅和全球領導者,Check Point® Software Technologies Ltd.(NASDAQ: CHKP,以下簡稱 Check Point)旗下的 Lakera,全球領先的代理式 AI 應用程式的 AI 原生安全平台供應商,揭示了使用美國 Anthropic 公司 Claude Code 時伴隨的憑證洩漏風險。
這種資訊洩漏可能發生在 Claude Code 使用期間生成的設定檔中包含認證資訊,並在 npm 套件發布時外部暴露。為了解實際情況,Lakera 進行了掃描,發現在已確認的約 13 個 `.claude/settings.local.json` 檔案中,約有 1 個包含機密資訊。
## 背景
Claude Code 是一個基於終端機的 AI 編碼輔助代理,它將授權的 shell 命令儲存在專案目錄中的本地設定檔中。現已揭示,如果這個專案是一個 npm 套件,那麼包含憑證的檔案可能會被發布到公共註冊中心。
Lakera 受 Kirill Efimov 先生的帖子啟發,他首先指出了公開的 npm 套件中包含 `.claude/settings.local.json` 檔案的案例。Lakera 進行這項調查旨在掌握問題的實際規模並廣泛引起人們的關注。為了了解這個問題發生的普遍程度以及檔案中包含的內容,Lakera 開發了一個掃描器,該掃描器使用 TypeScript 服務監控 npm 註冊中心的 CouchDB 更改饋送。對於每個新增或更新的套件,它獲取 tarball,檢查其內容,如果存在 `.claude/settings.claude/settings.local.json`,則提取檔案並保存以供分析。
## Claude Code 權限模型的運作方式
Claude Code 對 shell 命令採用了權限系統。當 Claude 嘗試執行一個以前未被允許的命令時,會提供幾個選項。其中之一是「allow always」(總是允許)。如果選擇此項,該命令字串將按原樣寫入 `.claude/settings.local.json` 作為永久允許列表條目。此後,Claude 將不再要求確認該命令。
該檔案位於專案目錄根目錄下的 `.claude/` 目錄中,內容如下:
一旦命令被永久允許,它們都將被記錄下來,包括當時命令中包含的任何憑證。例如,包含 Authorization 標頭的 curl 命令,或以 `API_KEY=abc123` 等環境變數作為命令前綴的情況,都將被記錄。所有這些都記錄在此檔案中,並且該檔案保存在專案目錄中。
## npm 發布中的漏洞
npm 套件是從專案目錄的內容生成的。檔案可以透過 `.npmignore` 或 `package.json` 中的 `files` 欄位排除,但兩者都沒有提供針對 `.claude/` 的默認設定。即使此目錄存在,執行 `npm publish` 時也不會顯示警告。設定檔是一個隱藏的點檔案,在正常發布流程的任何階段都不會顯眼。
`.claude/settings.local.json` 遵循與 `.env` 類似的命名約定。`.local` 後綴表示該檔案是個人專用並依賴於特定環境。與 `.env` 不同,關於此的認知以及在發布前檢測並發出警告的工具尚未普及。
## 調查結果
在 Lakera 的掃描期間,在監控的約 46,500 個套件中,有 428 個套件包含了 `.claude/settings.local.json`,並確認其中 30 個套件的 33 個檔案中包含了敏感資訊。此結果表明,公開的設定檔中包含敏感資訊的比例約為 13 分之 1。
這種資訊洩漏可能發生在 Claude Code 使用期間生成的設定檔中包含認證資訊,並在 npm 套件發布時外部暴露。為了解實際情況,Lakera 進行了掃描,發現在已確認的約 13 個 `.claude/settings.local.json` 檔案中,約有 1 個包含機密資訊。
## 背景
Claude Code 是一個基於終端機的 AI 編碼輔助代理,它將授權的 shell 命令儲存在專案目錄中的本地設定檔中。現已揭示,如果這個專案是一個 npm 套件,那麼包含憑證的檔案可能會被發布到公共註冊中心。
Lakera 受 Kirill Efimov 先生的帖子啟發,他首先指出了公開的 npm 套件中包含 `.claude/settings.local.json` 檔案的案例。Lakera 進行這項調查旨在掌握問題的實際規模並廣泛引起人們的關注。為了了解這個問題發生的普遍程度以及檔案中包含的內容,Lakera 開發了一個掃描器,該掃描器使用 TypeScript 服務監控 npm 註冊中心的 CouchDB 更改饋送。對於每個新增或更新的套件,它獲取 tarball,檢查其內容,如果存在 `.claude/settings.claude/settings.local.json`,則提取檔案並保存以供分析。
## Claude Code 權限模型的運作方式
Claude Code 對 shell 命令採用了權限系統。當 Claude 嘗試執行一個以前未被允許的命令時,會提供幾個選項。其中之一是「allow always」(總是允許)。如果選擇此項,該命令字串將按原樣寫入 `.claude/settings.local.json` 作為永久允許列表條目。此後,Claude 將不再要求確認該命令。
該檔案位於專案目錄根目錄下的 `.claude/` 目錄中,內容如下:
一旦命令被永久允許,它們都將被記錄下來,包括當時命令中包含的任何憑證。例如,包含 Authorization 標頭的 curl 命令,或以 `API_KEY=abc123` 等環境變數作為命令前綴的情況,都將被記錄。所有這些都記錄在此檔案中,並且該檔案保存在專案目錄中。
## npm 發布中的漏洞
npm 套件是從專案目錄的內容生成的。檔案可以透過 `.npmignore` 或 `package.json` 中的 `files` 欄位排除,但兩者都沒有提供針對 `.claude/` 的默認設定。即使此目錄存在,執行 `npm publish` 時也不會顯示警告。設定檔是一個隱藏的點檔案,在正常發布流程的任何階段都不會顯眼。
`.claude/settings.local.json` 遵循與 `.env` 類似的命名約定。`.local` 後綴表示該檔案是個人專用並依賴於特定環境。與 `.env` 不同,關於此的認知以及在發布前檢測並發出警告的工具尚未普及。
## 調查結果
在 Lakera 的掃描期間,在監控的約 46,500 個套件中,有 428 個套件包含了 `.claude/settings.local.json`,並確認其中 30 個套件的 33 個檔案中包含了敏感資訊。此結果表明,公開的設定檔中包含敏感資訊的比例約為 13 分之 1。