以“安全優(yōu)先”定位的Anthropic��,其核心開發(fā)東西Claude Code的網絡沙箱在過去五個月里從未實在安全過。
獨立安全研討員關傲男(Aonan Guan)5月20日發(fā)布新研討���,發(fā)表Claude Code網絡沙箱存在第二個完好繞過縫隙——一個SOCKS5協(xié)議中的空字節(jié)注入進犯���,能夠讓沙箱內的進程拜訪用戶戰(zhàn)略清晰制止的任意主機。這意味著從2025年10月沙箱功用上線至今�����,約5.5個月����、130個發(fā)布版別,Claude Code的每一個版別都存在可被完好繞過的安全缺陷�����。這已是同一研討員對同一道防線的第2次完好打破。
Anthropic對此的回應是緘默沉靜:沒有安全布告,沒有CVE編號,沒有用戶通知�����。縫隙在4月1日的版別中靜默修正,更新日志未提及任何安全相關內容����。也就是說���,一位仍在運轉舊版別的用戶���,徹底無從知曉自己裝備的沙箱從一開端就形同虛設�����。
同一道門的兩次鑰匙
Claude Code是Anthropic于2025年頭推出的AI編程幫手���,定位是“駐留在終端中的AI工程師”。與傳統(tǒng)的聊天式代碼補全不同����,Claude Code具有對用戶代碼庫的讀寫權限和指令履行才能,能夠自主完結導航代碼�、修改文件、運轉測驗等一系列操作。這種深度介入也意味著極高的安全危險——如果模型被提示詞注入進犯劫持�����,進犯者將取得同等用戶終端權限的才能,包含讀取本地環(huán)境變量���、履行任意體系指令�����、拜訪內部網絡資源等��。
為了平衡安全與功率,Anthropic在2025年10月引入了網絡沙箱功用(v2.0.24)�,允許用戶經過裝備文件設定域名白名單�,約束AI履行環(huán)境的外部網絡拜訪�����。例如裝備 allowedDomains: [“*.google.com”] 后,Claude Code只能拜訪Google及其子域名��,其余流量一概阻斷。官方文檔清晰許諾:“空數組等于制止所有網絡拜訪������!
這一機制由一個SOCKS5署理完成:底層沙箱運轉時(@anthropic-ai/sandbox-runtime)發(fā)動署理服務器,沙箱內的進程不直接主張網絡銜接���,而是經過署理轉發(fā)�,署理根據用戶在 settings.json 中裝備的白名單履行域名過濾�。操作體系層面的沙箱機制——macOS的sandbox-exec���、Linux的bubblewrap——正確地將Agent約束在本地回環(huán)地址��,出站決議計劃則徹底委托給這個SOCKS5署理���。
Anthropic官方博客展現的Claude Code沙箱架構圖——用戶指令經由SOCKS/HTTP署理過濾后到達沙箱���,沙箱內的文件操作與網絡拜訪受嚴格權限管控
問題就出在這個署理的完成上�����。兩次獨立的安全研討均證明�����,它能夠被完好繞過。
時間線暴露出更深層的問題:2025年11月26日發(fā)布的v2.0.55修正了第一次繞過�,但第2次繞過從沙箱上線的第一天起就已存在���,該版別仍然攜帶。兩個縫隙在時間線上存在交叉��,從沙箱功用上線的第一天到后一個縫隙被修正,沒有任何版別是安全的��。Anthropic在官方博客中聲稱沙箱“保證即使產生提示詞注入,影響也被徹底隔離”���,但這兩次繞過的存在直接推翻了這一許諾。
“一次外部陳述是運氣���。兩次是實施質量問題�������!——關傲男研討陳述表明。
一個空字節(jié)的完好繞過
第2次繞過的技術原理并不雜亂����,但進犯鏈條的完好性值得關注。
用戶裝備了網絡白名單�����,例如只允許拜訪 *.google.com。Claude Code的SOCKS5署理在收到銜接懇求時��,用JavaScript的 endsWith() 辦法對主機名做后綴匹配。進犯者只需在主機名中插入一個空字節(jié)——構造形如attacker-host.com\x00.google.com 的字符串����。JavaScript將空字節(jié)視為一般UTF-16字符��,endsWith(“.google.com”) 回來 true���,署理放行。但同一字符串被傳遞到底層C言語函數 getaddrinfo() 進行DNS解析時�����,空字節(jié)被視為字符串終止符,實踐解析的是 attacker-host.com�。同樣的字節(jié)���,兩層代碼給出了兩種解讀��。過濾器認為你在拜訪Google���,DNS解析器知道你在銜接進犯者的服務器�。
這歸于經典的“解析器差異”進犯�����,與2005年發(fā)現的HTTP懇求走私屬同一技術類別(CWE-158 / CWE-436)。其本質是當同一條數據流經兩個具有不同語義解說規(guī)則的組件時���,進犯者能夠使用這種差異����,讓一層組件做出“安全”的判別�����,同時讓另一層組件履行“危險”的操作�����。此類縫隙在網絡安全范疇重復呈現���,要害教訓一直相同:任何跨越信賴鴻溝的字符串傳遞,都必須經過嚴格的規(guī)范化與驗證�,而非信賴上層現已做過查看。
關傲男運用兩個小化的Node.js腳本完結了縫隙復現:操控腳本運用一般主機名主張SOCKS5銜接�,回來BLOCKED;進犯腳本在主機名中注入空字節(jié)����,回來 BYPASSED rep=0x00——后者意味著署理已成功建立銜接,出站通道被翻開。Claude Code自身供認了這一成果�����。
Claude Code v2.1.86中四個赤色標示過程的完好縫隙復現——戰(zhàn)略供認�����、一般阻攔���、空字節(jié)繞過��、Claude自身供認
而這一沙箱繞過與關傲男4月發(fā)表的“談論與操控”提示詞注入進犯串聯(lián)后�����,構成了完好的進犯鏈(拜見:三層防護仍然不行����,一條PR標題就能偷走你的API密鑰:AI Agent安全裂痕再現)�。“談論與操控”研討已證明��,三家AI編程東西均存在提示詞注入進犯面��,但進犯進口各不相同:Claude Code僅經過PR標題,Gemini CLI經過Issue談論或正文���,Copilot Agent則使用HTML注釋完成隱蔽注入��。以Claude Code為例�,其PR標題會被直接拼接至提示詞模板���,未經過濾或轉義����,模型無法區(qū)別人類意圖與歹意注入�。
將兩者組合——隱藏指令讓Agent在沙箱內運轉進犯代碼,空字節(jié)注入打破網絡封閉——環(huán)境變量中的API密鑰����、AWS憑證�、GitHub令牌、內部API端點數據等��,均可被外傳至互聯(lián)網上的任意服務器����。數據經過SOCKS5署理自身流出�,進犯全程無需外部服務器中轉��,而該署理恰恰是用戶信賴為安全鴻溝的組件����。進犯者甚至不需要倉庫寫入權限,只需提交一個揭露Issue即可�����。人類審查者在GitHub烘托視圖中看到的是正常協(xié)作懇求���,AI Agent解析的卻是完好歹意源碼��。
連Claude都供認:縫隙是實在的
此次發(fā)表中的一個要害細節(jié)來自Claude Code自身�。關傲男直接將縫隙復現代碼交給Claude Code運轉��,要求其做出技術判別��。Claude Code在履行了操控測驗(一般主機名被阻攔)和進犯測驗(空字節(jié)主機名繞過阻攔)后�,給出了清晰結論:
“This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”(“這是對網絡沙箱過濾器的實在繞過,不是測驗假象���。你應該向Anthropic陳述這個問題�������!保
被測驗的產品自己供認了縫隙的實在性和嚴重性��,甚至主動給出了上報途徑���。這個細節(jié)被關傲男完好記錄在研討陳述中����,并成為The Register報道標題的來源——“Even Claude agrees hole in its sandbox was real and dangerous”(連Claude都認同��,其沙箱中的縫隙是實在且危險的)�。
關傲男研討封面——Claude Code被展現自身縫隙后供認“這是對網絡沙箱過濾器的實在繞過”,赤色框標示要害供認語句
Anthropic的回應與五個月的緘默沉靜
縫隙自身令人擔憂�����,但Anthropic的處理方式更值得職業(yè)審視��。
關傲男于2026年4月初經過HackerOne縫隙賞金計劃(陳述編號#3646509)向Anthropic提交了第2次沙箱繞過的具體陳述��。Anthropic的初步回應是:
“Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking.”(“感謝您的陳述��。經審閱����,咱們認定該提交與咱們已在追尋的既有內部陳述重復�!保
陳述隨即被關閉。當關傲男詰問CVE編號計劃時���,Anthropic于4月7日回復:
“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”(“咱們尚未決議是否為該問題發(fā)布CVE編號�����,也無法供給相關決議的時間表���!保
此后縫隙在v2.1.90版別中靜默修正���。沒有安全布告��,沒有CVE編號���,Claude Code安全主張頁面無任何條目,更新日志未提及任何安全相關描述���。一個從沙箱上線第一天就存在�����、持續(xù)5.5個月�、覆蓋約130個版別的完好繞過,對用戶而言仿佛從未產生過�。
這一處理形式并非初次呈現。第一次繞過(CVE-2025-66479)的應對方式簡直千篇一律:Anthropic將CVE僅分配給底層庫 @anthropic-ai/sandbox-runtime(CVSS評分僅1.8����,“Low”),而非面向用戶的產品Claude Code�;更新日志中寫的是“Fixed proxy DNS resolution”(修正了署理DNS解析),未提及安全縫隙�����。關傲男在研討陳述中對此寫道:“當React Server Components呈現嚴重縫隙時���,React和Next.js各自取得了獨立的CVE���,Meta和Vercel都發(fā)布了安全布告,兩個社區(qū)都得到了充分告知。Anthropic挑選了不同的做法�������!苯刂聊壳���,查找“Claude Code Sandbox CVE”仍然無法找到任何官方安全布告。
在應對憑證盜取問題時����,Anthropic挑選封禁ps指令,但黑名單思路先天不足——封禁一個指令����,進犯者有無數替代途徑。正確做法是清晰聲明Agent只需要哪些東西���。而在“談論與操控”研討中�����,Anthropic雖將縫隙評級提升至CVSS 9.4(Critical級別)并轉入私有賞金計劃�,發(fā)言人卻表明“該東西在規(guī)劃上并未針對提示詞注入進行加固”。廠商默許信賴模型自身的安全才能�,卻在體系架構層面缺乏縱深防護;當縫隙暴露出這種缺失時��,“規(guī)劃限制”便成了一個方便的分類——它既供認了問題�����,又在某種程度上免除了發(fā)布安全布告的責任����。
更廣泛的職業(yè)圖景是,同樣的問題不止于Anthropic一家�����。4月發(fā)表的“談論與操控”研討中��,Google的Gemini CLI和微軟GitHub的Copilot Agent均被證明存在同一進犯面��,三家公司均供認并修正�,但沒有一家發(fā)布安全布告或CVE編號。Anthropic付出100美元賞金�,Google付出1337美元,GitHub初以“已知問題�����,無法復現”關閉陳述,在收到逆向工程證據后以“信息性”標簽結案����,發(fā)放500美元���。算計1937美元——而這三款產品覆蓋了《財富》百強中絕大多數企業(yè)��。
虛偽的安全感比沒有安全措施更具危害�����。沒有沙箱的用戶知道自己沒有鴻溝����;具有破損沙箱的用戶認為自己有�����。一個運轉Claude Code并裝備了域名白名單的團隊�����,在5.5個月里對危險毫不知情,升級后看到更新日志只會得出結論:沙箱一直在正常工作�。此外,當縫隙被發(fā)表后�,沒有安全布告意味著用戶無法判別自己是否曾受到影響,也缺乏回溯審計的依據�。
面臨這一現狀,安全社區(qū)開端形成一致:不能將信賴單點化地押注在廠商的沙箱完成上�。Claude Code的SOCKS5署理構建在一個僅10個GitHub Star、后提交停留在2024年6月的第三方npm包之上���,安全鴻溝橫跨JavaScript和C兩種運轉時�����,卻在信賴交界處缺少基本的規(guī)范化處理�����。修正補丁中增加的isValidHost()函數——擔任回絕空字節(jié)�����、百分號編碼����、CRLF等非法字符——本應從沙箱上線第一天就存在。關傲男提出了一個務實的防護框架——將AI Agent視為需要遵從小權限準則的超級職工��,核心在于多層防護:
安全的名譽建立在每一次發(fā)表和每一個補丁的透明度之上��,而非品牌敘事���。當用戶基于信賴將憑證交給Agent處理時�,廠商有責任保證防線有效����,也有責任在失效時及時告知����。這兩點,Anthropic在Claude Code沙箱上都未能做到�。
“沙箱壞的成果不是阻撓了什么,而是給了人們一種虛偽的安全感�����。發(fā)布一個有縫隙的沙箱����,比不發(fā)布沙箱更糟糕���。”——關傲男表明����。 |
咨詢服務熱線:400-099-8848
