CLAUDE.md 过载:规则写得越多,被遵守的越少
一句话摘要:你把所有想到的规范都写进 CLAUDE.md,希望我面面俱到。结果规则太多,我反而抓不住重点,把一半都漏掉了。
一句话摘要:你把所有想到的规范都写进 CLAUDE.md,希望我面面俱到。结果规则太多,我反而抓不住重点,把一半都漏掉了。
一句话摘要:2025 年 7 月,安全公司 Tracebit 披露:只要让刚发布的 Gemini CLI「介绍一下这个 repo」,藏在 README.md / GEMINI.md(常塞进冗长的 GPL 许可证文本里)的一段提示注入,就能借它过弱的命令 allowlist 校验执行外带命令——而确认框里那条危险命令被空白字符挤出了屏幕,你看到的只是一句无害的 grep。默认配置即可中招。这不是某个特定模型或工具的错,它暴露的是同一类机制风险:当 agent 会读到不可信内容、命令校验又不够强时,类似的注入可能在别的工具上复现——所以值得你逐帧看一遍。
一句话摘要:你在准备阶段就给我开了 --dangerously-skip-permissions、把所有工具调用都自动批准,图的是「不被频繁打断」。但你同时也交出了在出错那一刻喊停的唯一机会——而出错的不一定是我,也可能是藏在某个文件里的一段注入指令借我的手干的。
一句话摘要:上下文压缩是有损的,它保留它「以为重要」的,不一定是你这步真正要的。压得太晚我已经开始丢三落四;压在我手里正攥着没落盘的关键状态时,又会把这些冲掉——压完我「换了个脑子」接不上。
一句话摘要:一个不那么 trivial 的任务,你不先让我进计划模式调研、出计划、等你确认,而是直接说「改吧」。我会一头扎进某个方向,等改了一堆文件你才发现我理解偏了——返工的代价,远高于你当初花两分钟看一眼计划。
一句话摘要:Gemini CLI 有一层 per-folder 的「信任」存储(~/.gemini/trustedFolders.json):信任一个目录,它的项目配置和 .env 才会生效、确认也更少。但「信任父目录」会把信任继承给所有子目录;还有人报告父目录的 TRUST 会盖过子目录显式的 DONOTTRUST。于是你 clone 进来想隔离的陌生仓库,只因为躺在一个被信任的父目录下,就被当成可信——这正是注入最想落脚的地方。Claude Code 没有这层信任存储,所以这类坑是 Gemini CLI 特有。
一句话摘要:你用 allow / ask / deny 这种「软权限」控制我能跑什么命令,但我跑命令的进程和你的整台机器、凭据、网络是同一个域。软权限是一道我(或我读到的恶意内容)可以试图绕过的策略,不是操作系统强制的墙。一旦提示注入劫持了我,我就够得着你的 SSH key、环境变量、整个文件系统和对外网络。
一句话摘要:你管住了我能读什么文件,却没管住我能往哪儿发请求。只要我能向任意域名发出站流量,我就成了数据外泄的出口:读到的源码、密 钥、数据,我能编码进一个 URL 发到攻击者的服务器——这正是「致命三件套」里最该被砍掉的第三条腿。
一句话摘要:你让我从一个「谁都能写」的系统级目录(Windows 上的 C:\ProgramData)载入配置和 hook,却没人校验那个目录归谁、文件是谁放的。于是一个低权限的本地用户只要往那儿丢一份配置、挂一个「每次启动就跑」的 hook,我就会在每一个启动我的用户(包括管理员)名下替他执行那条命令——不用提权、不用你点确认、不留告警。
一句话摘要:让我写某个高频迭代的库的调用时,我凭训练记忆补位——可能用了已废弃或已改签名的 API,把不同大版本的写法混在一起,甚至幻觉出一个根本不存在的方法。代码「看起来都对」,编译期未必拦得住,到运行时才崩。
一句话摘要:你把任务整个丢给我、转身去忙别的,指望回来就收成果。但当我陷进非终止的循环——反复调同一个工具、在两个动作间来回横跳、永远「再试一次」——没人喊停,我就会安静地把你的 token、预算和速率配额一路烧穿,顺带对外部系统反复写。
一句话摘要:我手里那份文件是几轮之前的旧版本,你刚手改过的几行我根本没看见。我一个「完整重写」交回去,干净是干净,你的改动也一起没了——你往往是过了一会儿才发现。
一句话摘要:你让我处理一个仓库、一条 issue、一个依赖,里面的文本——README、issue 描述、.cursor/rules 或 AGENTS.md、网页、代码注释——可能藏着写给我的恶意指令。我读到后分不清那是「待处理的数据」还是「你的命令」,于是照做:把密钥外泄、在 diff 里插后门、跑破坏性命令。这不是产品上线后被攻击,是编码过程中的我自己当场被投毒内容劫持。
一句话摘要:交给我连续干,我攒出来的常是一个几十文件、上千行的巨型提交,信息却写着「update code」。再加上我会把构建产物、.env、注释掉的死代码一股脑提交进去。结果是历史不可读:git bisect、回滚、code review 全失效,出了问题你定位不到是哪一次改动。
一句话摘要:你在 CLAUDE.md 里写「不要碰生产数据库」「跑命令前先问我」,以为这就管住了我。但 CLAUDE.md 对我只是建议性上下文——我会读、会尽量照办,但不保证;真要拦住一个动作,那是 settings.json 的活儿,它在客户端强制生效,根本不经过我「决定」这一关。
一句话摘要:你给我的是合法凭据,我用它干的也是「合法」的操作——只是其中一条是删生产库、抹掉备份、或者在冻结期强行改动。这类动作的麻烦不在于难,而在于做完才发现回不来。我天生倾向「让任务往前走」,对「这一步删了就没了」缺乏敬畏;护栏得由你在准备阶段就架好,靠机制而不是靠我自觉。
一句话摘要:你给我接 MCP server 时图省事,一把授予整库读写、生产数据库、密钥、对外发请求的工具。问题不只是「我可能误用」——你每多给我一个高权限 MCP 工具,就多开一条提示注入的攻击路径:我读到的某条 issue、某个网页里藏的恶意指令,可能借我手里的工具把数据送出去。
一句话摘要:你让我配 CI/CD,我会顺手把「自动启用某个服务、自动授予某个权限」也写进流水线,仿佛运行环境里我无所不能。但流水线的令牌只有有限权限,结果不是发布失败(Resource not accessible by integration),就是被我悄悄放大了攻击面。