IM体育官方网站 能肆意窃取数据!这款热点 AI 编程用具曝紧要隐患
以"安全优先"定位的 Anthropic,其中枢开拓用具 Claude Code 的收罗沙箱在畴昔五个月里从未真确安全过。
孤立安全照顾员关傲男(Aonan Guan)5 月 20 日发布最新照顾,败露 Claude Code 收罗沙箱存在第二个无缺绕过罅隙——一个 SOCKS5 契约中的空字节注入挫折,不错让沙箱内的进度访谒用户政策明确禁止的大肆主机。这意味着从 2025 年 10 月沙箱功能上线于今,约 5.5 个月、130 个发布版块,Claude Code的每一个版块齐存在可被无缺绕过的安全缺点。这已是吞并照顾员对同通盘防地的第二次无缺冲破。
Anthropic 对此的回话是千里默:莫得安全晓示,莫得 CVE 编号,莫得用户陈诉。罅隙在 4 月 1 日的版块中静默建立,更新日记未说起任何安全关系内容。也等于说,一位仍在运行旧版块的用户,弥漫无从久了我方配置的沙箱从一运行就形同虚设。
同通盘门的两次钥匙
Claude Code 是 Anthropic 于 2025 年头推出的 AI 编程助手,定位是"驻留在末端中的 AI 工程师"。与传统的聊天式代码补全不同,Claude Code 领有对用户代码库的读写权限和大叫实行才略,大略自主完成导航代码、剪辑文献、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——如若模子被教导词注入挫折劫握,挫折者将得到等同用户末端权限的才略,包括读取腹地环境变量、实行大肆系统大叫、访谒里面收罗资源等。
为了均衡安全与结尾,Anthropic 在 2025 年 10 月引入了收罗沙箱功能(v2.0.24),允许用户通过配置文献设定域名白名单,限定 AI 实行环境的外部收罗访谒。举例配置 allowedDomains: [ " *.google.com " ] 后,Claude Code 只可访谒 Google 相配子域名,其余流量一律阻断。官方文档明确首肯:"空数组等于禁止系数收罗访谒。"
开云kaiyun体育中国APP下载这一机制由一个 SOCKS5 代理已毕:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理做事器,沙箱内的进度不径直发起收罗聚会,而是通过代理转发,代理根据用户在 settings.json 中配置的白名单实行域名过滤。操作系统层面的沙箱机制—— macOS 的 sandbox-exec、Linux 的 bubblewrap ——正确地将 Agent 限定在腹地回文地址,出站方案则弥漫寄予给这个 SOCKS5 代理。
Anthropic 官方博客展示的 Claude Code 沙箱架构图——用户大叫历程 SOCKS/HTTP 代理过滤后到达沙箱,沙箱内的文献操作与收罗访谒受严格权限管控
问题就出在这个代理的已毕上。两次孤立的安全照顾均评释,它不错被无缺绕过。
时代线暴表露更深层的问题:2025 年 11 月 26 日发布的 v2.0.55 建立了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版块仍然佩戴。两个罅隙在时代线上存在交叉,从沙箱功能上线的第一天到终末一个罅隙被建立,莫得任何版块是安全的。Anthropic 在官方博客中声称沙箱"确保即使发生教导词注入,影响也被弥漫圮绝",但这两次绕过的存在径直推翻了这一首肯。
"一次外部阐发是气运。两次是实施质地问题。"——关傲男照顾阐发流露。
一个空字节的无缺绕过
第二次绕过的技能旨趣并不复杂,但挫折链条的无缺性值得关怀。
用户配置了收罗白名单,举例只允许访谒 *.google.com。Claude Code 的 SOCKS5 代理在收到聚会苦求时,用 JavaScript 的 endsWith ( ) 方法对主机名作念后缀匹配。挫折者只需在主机名中插入一个空字节——构造形如 attacker-host.comx00.google.com 的字符串。JavaScript 将空字节视为普通 UTF-16 字符,endsWith ( " .google.com " ) 复返 true,代理放行。但吞并字符串被传递到底层 C 话语函数 getaddrinfo ( ) 进行 DNS 剖析时,空字节被视为字符串休止符,施行剖析的是 attacker-host.com。相同的字节,两层代码给出了两种解读。过滤器合计你在访谒 Google,DNS 剖析器知谈你在聚会挫折者的做事器。
这属于经典的"剖析器各异"挫折,与 2005 年发现的 HTTP 苦求私运属吞并技能类别(CWE-158 / CWE-436)。其施行是当吞并条数据流经两个具有不同语义解释规章的组件时,挫折者不错诳骗这种各异,让一层组件作念出"安全"的判断,同期让另一层组件实行"危急"的操作。此类罅隙在收罗安全限制反复出现,关节陶冶永久相易:任何卓绝信任领域的字符串传递,齐必须经过严格的模范化与考证,而非信任表层仍是作念过搜检。
关傲男使用两个最小化的 Node.js 剧本完成了罅隙复现:限度剧本使用普通主机名发起 SOCKS5 聚会,复返 BLOCKED;挫折剧本在主机名中注入空字节,复返 BYPASSED rep=0x00 ——后者意味着代理已告成建立聚会,出站通谈被掀开。Claude Code 自身阐述了这一结尾。
Claude Code v2.1.86 中四个红色标注面貌的无缺罅隙复现——政策阐述、普通抑止、空字节绕过、Claude 自身阐述
而这一沙箱绕过与关傲男 4 月败露的"驳倒与限度"教导词注入挫折串联后,组成了无缺的挫折链。"驳倒与限度"照顾已评释,三家 AI 编程用具均存在教导词注入挫折面,但挫折进口各不相易:Claude Code 仅通过 PR 标题,Gemini CLI 通过 Issue 驳倒或正文,Copilot Agent 则诳骗 HTML 细心已毕狡饰注入。以 Claude Code 为例,其 PR 标题会被径直拼接至教导词模板,未经过滤或转义,模子无法分散东谈主类意图与坏心注入。
将两者组合——狡饰指示让 Agent 在沙箱内运行挫折代码,空字节注入冲破收罗禁闭——环境变量中的API密钥、AWS凭证、GitHub令牌、里面API端点数据等,IM体育官方网站首页均可被听说至互联网上的大肆做事器。数据通过 SOCKS5 代理自己流出,挫折全程无需外部做事器中转,而该代理恰正是用户信任为安全领域的组件。挫折者致使不需要仓库写入权限,只需提交一个公开 Issue 即可。东谈主类审查者在 GitHub 渲染视图中看到的是平常趋附苦求,AI Agent 剖析的却是无缺坏心源码。
连 Claude 齐承认:罅隙是委果的
这次败露中的一个关节细节来自 Claude Code 自身。关傲男径直将罅隙复当代码交给 Claude Code 运行,要求其作念出技能判断。Claude Code 在实行了限度测试(普通主机名被抑止)和挫折测试(空字节主机名绕过抑止)后,给出了明确论断:
" This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues. "("这是对收罗沙箱过滤器的委果绕过,不是测试假象。你应该向 Anthropic 阐发这个问题。")
被测试的家具我方阐述了罅隙的委果性和严重性,致使主动给出了上报旅途。这个细节被关傲男无缺记载在照顾阐发中,并成为 The Register 报谈标题的开头——" Even Claude agrees hole in its sandbox was real and dangerous "(连 Claude 齐招供,其沙箱中的罅隙是委果且危急的)。
关傲男照顾封面—— Claude Code 被展示自身罅隙后承认"这是对收罗沙箱过滤器的委果绕过",红色框标注关节阐述语句
Anthropic 的回话与五个月的千里默
罅隙自己令东谈主担忧,但 Anthropic 的惩处花式更值得行业谛视。
关傲男于 2026 年 4 月初通过 HackerOne 罅隙赏金遐想(阐发编号 #3646509)向 Anthropic 提交了第二次沙箱绕过的详备阐发。Anthropic 的初步回话是:
" Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking. "("感谢您的阐发。经审核,咱们认定该提交与咱们已在跟踪的既有里面阐发类似。")
阐发当场被关闭。当关傲男追问 CVE 编号遐想时,Anthropic 于 4 月 7 日回复:
" We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision. "("咱们尚未决定是否为该问题发布 CVE 编号,也无法提供关系决定的时代表。")
尔后罅隙在 v2.1.90 版块中静默建立。莫得安全晓示,莫得CVE编号,Claude Code安全建议页面无任何要求,更新日记未说起任何安全关系姿色。一个从沙箱上线第一天就存在、握续 5.5 个月、隐蔽约 130 个版块的无缺绕过,对用户而言仿佛从未发生过。
这一惩处模式并非初次出现。第一次绕过(CVE-2025-66479)的顶住花式险些如出一辙:Anthropic 将 CVE 仅分派给底层库 @anthropic-ai/sandbox-runtime(CVSS 评分仅 1.8," Low "),而非面向用户的家具 Claude Code;更新日记中写的是" Fixed proxy DNS resolution "(建立了代理 DNS 剖析),未说起安全罅隙。关傲男在照顾阐发中对此写谈:"当 React Server Components 出现严重罅隙时,React 和 Next.js 各自得到了孤立的 CVE,Meta 和 Vercel 齐发布了安全晓示,两个社区齐得到了充分奉告。Anthropic 聘用了不同的作念法。"为止现在,搜索" Claude Code Sandbox CVE "依然无法找到任何官方安全晓示。
在顶住凭证窃取问题时,Anthropic 聘用封禁ps大叫,但黑名单念念路先天不及——封禁一个大叫,挫折者有无数替代旅途。正确作念法是明确声明Agent只需要哪些用具。而在"驳倒与限度"照顾中,Anthropic 虽将罅隙评级擢升至 CVSS 9.4(Critical 级别)并转入特有赏金遐想,发言东谈主却流露"该用具在遐想上并未针对教导词注入进行加固"。厂商默许信任模子自身的安全才略,却在系统架构层面清寒纵深防患;当罅隙暴表露这种缺失机,"遐想局限"便成了一个轻便的分类——它既承认了问题,又在某种程度上革职了发布安全晓示的义务。
更庸俗的行业图景是,相同的问题不啻于 Anthropic 一家。4 月败露的"驳倒与限度"照顾中,Google 的 Gemini CLI 和微软 GitHub 的 Copilot Agent 均被证实存在吞并挫折面,三家公司均阐述并建立,但莫得一家发布安全晓示或CVE编号。Anthropic 支付 100 好意思元赏金,Google 支付 1337 好意思元,GitHub 率先以"已知问题,无法复现"关闭阐发,在收到逆向工程把柄后以"信息性"标签了案,披发 500 好意思元。悉数1937好意思元——而这三款家具隐蔽了《钞票》百强中绝大大齐企业。
差错的安全感比莫得安全模范更具危害。莫得沙箱的用户知谈我方莫得领域;领有阻扰沙箱的用户以为我方有。一个运行 Claude Code 并配置了域名白名单的团队,在 5.5 个月里对风险绝不知情,升级后看到更新日记只会得出论断:沙箱一直在平常责任。此外,当罅隙被败露后,莫得安全晓流露味着用户无法判断我方是否曾受到影响,也清寒回溯审计的依据。
面临这一近况,安全社区运行造成共鸣:不成将信任单点化地押注在厂商的沙箱已毕上。Claude Code 的 SOCKS5 代理构建在一个仅 10 个 GitHub Star、终末提交停留在 2024 年 6 月的第三方 npm 包之上,安全领域横跨 JavaScript 和 C 两种运行时,却在信任交壤处清寒最基本的模范化惩处。建立补丁中添加的isValidHost ( ) 函数——阐述断绝空字节、百分号编码、CRLF 等犯警字符——本应从沙箱上线第一天就存在。关傲男建议了一个求实的防患框架——将 AI Agent 视为需要恪守最小权限原则的超等职工,中枢在于多层防患:
安全的声誉建立在每一次败露和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给 Agent 惩处时,厂商有义务确保防地有用,也有义务在失效时实时奉告。这两点,Anthropic 在 Claude Code 沙箱上齐未能作念到。
"沙箱最坏的结尾不是坎坷了什么,而是给了东谈主们一种差错的安全感。发布一个有罅隙的沙箱,比不发布沙箱更恶运。"——关傲男流露。
(本文首发钛媒体 APP,作家 | 硅谷 Tech_news,剪辑 | 焦燕)
参考贵寓:
1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)
2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)IM体育官方网站