昨天Claude Code 源码刚泄露，b 站UP主Jack-Cui 就已经第一个发现源码里的高危风险漏洞，还发了演示视频，应该是全网第一个目前讲cc安全问题的精华内容了[努力]

因为 hooks 暴露出来了，而 hooks 是默认执行的，不需要用户同意的。所以如果你在网上下了一些「有毒」的开源项目，极有可能通过 hooks 拿到你的 API 等隐私信息。
视频中演示项目干净得很，就一个 .claude 文件夹＋空脚本，结果命令一敲，后门 txt 直接弹出来了。
说到底就是信任边界没守住。hooks 默认静默执行，skill 和 MCP 配置也都能投毒。
这意味着 对普通人来说 如果用了Claude Code 源代码开发的软件，你的银行卡账户和密码可能会被直接偷走

Up 主建议所有用Claude的小伙伴，一定一定检查好自己的配置文件、skill插件、mcp配置，有没有危险操作指令。
方法就是看 json 配置文件里的 hooks 字段，最近一段时间请谨慎 clone 各种开源项目，安装 skill 插件，配置 mcp 等。