1  info:
 2    name: ai-code
 3    cve: CVE-2026-30304
 4    summary: >-
 5      AI Code（VS Code 扩展）存在提示词注入漏洞，攻击者可通过将恶意命令包装在通用模板中绕过用户命令执行确认，
 6      导致任意命令执行。
 7    details: >-
 8      AI Code（VS Code 扩展 ID：tianguaduizhang.claude-dev-china）是 Cline AI
 9      编程助手的中文本地化分支版本。其终端命令自动执行功能提供两种模式："执行安全命令"和"执行所有命令"。
10      "执行安全命令"模式旨在自动执行 LLM 判断为安全的命令，对潜在破坏性命令则要求用户确认。
11      然而，该安全边界可通过提示词注入绕过：攻击者可在模型处理的内容中（例如恶意代码、仓库 README、
12      网页内容）嵌入特制的提示词模板，诱导 LLM 将任意恶意命令误判为"安全命令"，导致其无需用户确认即自动执行，
13      最终造成开发者机器上的任意命令执行。受影响组件：工具调用解析器（Tool Call Parser）、命令校验逻辑
14      （Command Validation Logic）、自动执行模块（Auto-Execution Module）。受影响版本：<= 3.12.4。
15      OSINT 情报：分析时未发现公开 PoC 或利用代码；该漏洞通过 GitHub 仓库
16      Secsys-FDU/LLM-Tool-Calling-CVEs 的 Issue 披露。
17  
18      注意：该产品为 VS Code IDE 扩展，无 HTTP 服务器或 Web 端点。AIG 基于 HTTP 指纹的检测方式
19      不适用于此产品。本规则仅用于漏洞情报存档，建议通过 SCA/SBOM 分析工具进行检测。
20    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
21    severity: CRITICAL
22    security_advise: >-
23      1. 待修复版本发布后，将 AI Code 扩展升级至 3.12.4 以上版本。
24      2. 在处理不受信任的代码库、仓库或网页内容时，避免使用"执行安全命令"自动执行模式。
25      3. 在需要最高安全性的场景下，优先使用"执行所有命令"模式并对每条命令进行明确确认。
26      4. 尽量启用 VS Code 工作区信任（Workspace Trust）和扩展沙箱机制。
27      5. 关注官方公告更新：https://github.com/Secsys-FDU/LLM-Tool-Calling-CVEs
28    references:
29      - https://github.com/Secsys-FDU/LLM-Tool-Calling-CVEs/issues/2
30      - https://marketplace.visualstudio.com/items?itemName=tianguaduizhang.claude-dev-china
31      - https://nvd.nist.gov/vuln/detail/CVE-2026-30304
32  rule: 'version <= "3.12.4"'
33  references:
34    - https://github.com/Secsys-FDU/LLM-Tool-Calling-CVEs/issues/2
35    - https://marketplace.visualstudio.com/items?itemName=tianguaduizhang.claude-dev-china
36    - https://nvd.nist.gov/vuln/detail/CVE-2026-30304