AI审代码也看"脸"：两行Git命令攻破Claude

你以为AI代码审查比人更客观？Manifold Security的测试证明恰恰相反——它可能比人类更容易被"熟人"骗过。

Git身份伪造：一个老问题撞上AI新场景

Git的提交元数据从来不难伪造。设置个假的作者名和邮箱，两行命令搞定：

git config user.name "知名维护者"
git config user.email "trusted@example.com"

这不是漏洞，是设计取舍。Git诞生于协作信任的小圈子时代，身份验证靠外部工具（签名、SSH密钥）补充。二十年来，这个"特性"没造成大规模灾难，因为人类审代码时会交叉验证：这人平时写什么风格？这个改动是否符合他的专长领域？

但AI审查工具把这套直觉扔了。

Manifold Security的测试直指核心：当Claude（Anthropic的大语言模型）被配置为"自动批准知名行业传奇人物的PR"时，伪造身份的恶意代码直接通过。模型没有质疑"为什么这位维护者突然提交了一个风格迥异的补丁"，它只是看到了一个信任信号，然后执行了预设规则。

「开源项目维护者被PR淹没，为知名可信人物自动开启审查绿色通道，动机可以理解。」Manifold在报告中写道，「但这制造了一个假设：作者身份可以照单全收。」

信任链的断裂：从OpenClaw到Claude

Manifold把这个案例与近期的OpenClaw Cline包污染事件并置。后者是攻击者向可信环境注入恶意包，前者是伪造身份让AI主动放行。表面不同，底层逻辑一致：来源可信≠内容可信。

人类审查员的优势在于不一致性——会累、会好奇、会对"不对劲"产生直觉。AI审查员的优势是规模，代价恰恰是这种不一致性的消失。它不会在某天下午突然想："等等，这位维护者从不碰这部分代码。"

更隐蔽的风险在现实配置中。Manifold的测试用了显眼的"行业传奇"规则，实际生产环境更常见的是：组织成员检查、历史贡献统计、维护者名单匹配。这些机制同样脆弱——它们验证的是Git元数据，不是真人。

「开源库越来越依赖AI工作流工具自动审查和批准PR，但这些智能体极易被欺骗，为威胁行为者绕过安全控制、污染流行代码库创造机会。」Manifold警告。

五个要点：为什么这事值得技术人警惕

1. 这不是Claude的"bug"，是信任模型的错位

Claude按规则行事。问题出在把"作者字段匹配"等同于"真人验证通过"。任何大语言模型在同样配置下都会中招，这不是Anthropic独有的缺陷。

2. Git签名不是可选项，是AI时代的必选项

GPG签名或SSH签名提交从未像今天这样重要。它们把身份验证从"字符串匹配"提升到"密钥持有证明"。AI审查工具如果读取签名验证状态，伪造攻击的门槛会从"两行命令"跃升到"窃取私钥"。

3. "自动批准"规则需要多重锚点

单一信号（作者名）= 单点故障。可靠的自动批准应该组合：签名验证 + 代码变更范围（是否触及敏感路径）+ 与作者历史贡献模式的偏离度检测。这些不需要AI，传统规则引擎就能做。

4. AI审查的定位应该是"初筛"而非"终审"

把AI当成节省人力的第一层过滤，而非替代人类判断的终审法官。高风险变更（修改CI配置、引入新依赖、变更权限相关代码）必须强制人工复核，无论作者是谁。

5. 供应链攻击的入口正在向AI工作流迁移

传统供应链攻击瞄准依赖包（npm、PyPI），现在多了一个维度：直接污染上游仓库。如果AI工具被广泛用于自动合并PR，攻击者可以跳过"发布恶意包"的步骤，直接把恶意代码写进项目主线。

guardrails不能活在模型里

Manifold的结论很直白：如果系统层面没有验证"谁做了什么"，坏代码不会被建议——会被推送。

这句话值得贴在每个引入AI代码审查的团队墙上。大语言模型没有原生的事实核查机制，它的"信任"是训练数据里的统计关联，是提示词里的规则注入。把这些当成安全边界，就像把门锁密码写在门牌上。

技术社区正在快速把AI嵌入开发流水线，这个过程中有太多"先跑起来再说"的妥协。Git身份伪造是个老问题，但AI的规模化、自动化特性让它从"需要社会工程学配合的攻击"变成了"可批量复制的攻击模板"。

好消息是防御手段成熟且免费：签名提交、分支保护规则、强制代码所有者审查。坏消息是这些措施需要人为配置，而配置的人可能正忙着用AI生成更多代码。

最后说个冷笑话：以后面试问"怎么保证代码安全"，回答"我们用AI审查"的，和回答"我们信任作者字段"的，可能得分一样低。