开云2026世界杯赛程分析官网 能莽撞窃取数据!这款热点 AI 编程器用曝紧要隐患
发布日期:2026-05-26 05:39 点击次数:72
以"安全优先"定位的 Anthropic,其中枢斥地器用 Claude Code 的集聚沙箱在当年五个月里从未确实安全过。
孤立安全酌量员关傲男(Aonan Guan)5 月 20 日发布最新酌量,表露 Claude Code 集聚沙箱存在第二个完好绕过疏忽——一个 SOCKS5 公约中的空字节注入攻击,不错让沙箱内的进度捕快用户政策明确隔绝的恣意主机。这意味着从 2025 年 10 月沙箱功能上线于今,约 5.5 个月、130 个发布版块,Claude Code的每一个版块都存在可被完好绕过的安全劣势。这已是归拢酌量员对同沿途防地的第二次完好龙套。
Anthropic 对此的回答是千里默:莫得安全布告,莫得 CVE 编号,莫得用户陈述。疏忽在 4 月 1 日的版块中静默斥地,更新日记未说起任何安全相干内容。也即是说,一位仍在运行旧版块的用户,皆备无从分解我方设立的沙箱从一运行就形同虚设。
同沿途门的两次钥匙
Claude Code 是 Anthropic 于 2025 岁首推出的 AI 编程助手,定位是"驻留在终局中的 AI 工程师"。与传统的聊天式代码补全不同,Claude Code 领有对用户代码库的读写权限和敕令实行智商,不祥自主完成导航代码、剪辑文献、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——如若模子被辅导词注入攻击劫抓,攻击者将得到等同用户终局权限的智商,包括读取土产货环境变量、实行恣意系统敕令、捕快里面集聚资源等。
为了均衡安全与效果,Anthropic 在 2025 年 10 月引入了集聚沙箱功能(v2.0.24),允许用户通过设立文献设定域名白名单,规矩 AI 实行环境的外部集聚捕快。举例设立 allowedDomains: [ " *.google.com " ] 后,Claude Code 只可捕快 Google 偏执子域名,其余流量一律阻断。官方文档明确同意:"空数组等于隔绝扫数集聚捕快。"
这一机制由一个 SOCKS5 代理终了:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理功绩器,沙箱内的进度不胜仗发起集聚蚁集,而是通过代理转发,代理根据用户在 settings.json 中设立的白名单实行域名过滤。操作系统层面的沙箱机制—— macOS 的 sandbox-exec、Linux 的 bubblewrap ——正确地将 Agent 规矩在土产货回文地址,出站决议则皆备寄托给这个 SOCKS5 代理。
Anthropic 官方博客展示的 Claude Code 沙箱架构图——用户敕令进程 SOCKS/HTTP 代理过滤后到达沙箱,沙箱内的文献操作与集聚捕快受严格权限管控
问题就出在这个代理的终了上。两次孤立的安全酌量均解释,它不错被完好绕过。
时间线暴泄露更深层的问题:2025 年 11 月 26 日发布的 v2.0.55 斥地了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版块仍然佩戴。两个疏忽在时间线上存在交叉,从沙箱功能上线的第一天到终末一个疏忽被斥地,莫得任何版块是安全的。Anthropic 在官方博客中声称沙箱"确保即使发生辅导词注入,影响也被皆备遮拦",但这两次绕过的存在胜仗推翻了这一同意。
"一次外部敷陈是运谈。两次是实施质地问题。"——关傲男酌量敷陈暗意。
滚球中国官方网站入口一个空字节的完好绕过
第二次绕过的技能旨趣并不复杂,但攻击链条的完好性值得注重。
用户设立了集聚白名单,举例只允许捕快 *.google.com。Claude Code 的 SOCKS5 代理在收到蚁集肯求时,用 JavaScript 的 endsWith ( ) 方法对主机名作念后缀匹配。攻击者只需在主机名中插入一个空字节——构造形如 attacker-host.comx00.google.com 的字符串。JavaScript 将空字节视为普通 UTF-16 字符,endsWith ( " .google.com " ) 复返 true,代理放行。但归拢字符串被传递到底层 C 话语函数 getaddrinfo ( ) 进行 DNS 解析时,空字节被视为字符串停止符,履行解析的是 attacker-host.com。相通的字节,两层代码给出了两种解读。过滤器以为你在捕快 Google,DNS 解析器知谈你在蚁集攻击者的功绩器。
这属于经典的"解析器互异"攻击,与 2005 年发现的 HTTP 肯求私运属归拢技能类别(CWE-158 / CWE-436)。其本色是当归拢条数据流经两个具有不同语义解释章程的组件时,攻击者不错诓骗这种互异,让一层组件作念出"安全"的判断,同期让另一层组件实行"危境"的操作。此类疏忽在集聚安全范畴反复出现,要道资格经久相通:任何跳跃信任范畴的字符串传递,都必须经过严格的法子化与考证,而非信任表层也曾作念过查验。
关傲男使用两个最小化的 Node.js 剧本完成了疏忽复现:戒指剧本使用普通主机名发起 SOCKS5 蚁集,复返 BLOCKED;攻击剧本在主机名中注入空字节,复返 BYPASSED rep=0x00 ——后者意味着代理已告捷建立蚁集,出站通谈被通达。Claude Code 自身阐发了这一扬弃。
Claude Code v2.1.86 中四个红色标注表情的完好疏忽复现——政策阐发、普通阻扰、空字节绕过、Claude 自身阐发
而这一沙箱绕过与关傲男 4 月表露的"评述与戒指"辅导词注入攻击串联后,组成了完好的攻击链。"评述与戒指"酌量已解释,三家 AI 编程器用均存在辅导词注入攻击面,但攻击进口各不相通:Claude Code 仅通过 PR 标题,Gemini CLI 通过 Issue 评述或正文,Copilot Agent 则诓骗 HTML 注释终了讳饰注入。以 Claude Code 为例,其 PR 标题会被胜仗拼接至辅导词模板,未经过滤或转义,模子无法折柳东谈主类意图与坏心注入。
将两者组合——隐私指示让 Agent 在沙箱内运行攻击代码,空字节注入龙套集聚顽固——环境变量中的API密钥、AWS凭证、GitHub令牌、里面API端点数据等,开云数据分析均可被传闻至互联网上的恣意功绩器。数据通过 SOCKS5 代理本人流出,攻击全程无需外部功绩器中转,而该代理恰正是用户信任为安全范畴的组件。攻击者以致不需要仓库写入权限,只需提交一个公开 Issue 即可。东谈主类审查者在 GitHub 渲染视图中看到的是正常勾搭肯求,AI Agent 解析的却是完利害心源码。
连 Claude 都承认:疏忽是真实的
这次表露中的一个要道细节来自 Claude Code 自身。关傲男胜仗将疏忽复当代码交给 Claude Code 运行,要求其作念出技能判断。Claude Code 在实行了戒指测试(普通主机名被阻扰)和攻击测试(空字节主机名绕过阻扰)后,给出了明确论断:
" This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues. "("这是对集聚沙箱过滤器的真实绕过,不是测试假象。你应该向 Anthropic 敷陈这个问题。")
被测试的产物我方阐发了疏忽的真实性和严重性,以致主动给出了上报旅途。这个细节被关傲男完好纪录在酌量敷陈中,并成为 The Register 报谈标题的开端——" Even Claude agrees hole in its sandbox was real and dangerous "(连 Claude 都认可,其沙箱中的疏忽是真实且危境的)。
关傲男酌量封面—— Claude Code 被展示自身疏忽后承认"这是对集聚沙箱过滤器的真实绕过",红色框标注要道阐发语句
Anthropic 的回答与五个月的千里默
疏忽本人令东谈主担忧,但 Anthropic 的处分花式更值得行业凝视。
关傲男于 2026 年 4 月初通过 HackerOne 疏忽赏金谋略(敷陈编号 #3646509)向 Anthropic 提交了第二次沙箱绕过的看重敷陈。Anthropic 的初步回答是:
" Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking. "("感谢您的敷陈。经审核,咱们认定该提交与咱们已在跟踪的既有里面敷陈相通。")
敷陈飞速被关闭。当关傲男追问 CVE 编号谋略时,Anthropic 于 4 月 7 日回复:
" We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision. "("咱们尚未决定是否为该问题发布 CVE 编号,也无法提供相干决定的时间表。")
而后疏忽在 v2.1.90 版块中静默斥地。莫得安全布告,莫得CVE编号,Claude Code安全建议页面无任何条款,更新日记未说起任何安全相干刻画。一个从沙箱上线第一天就存在、抓续 5.5 个月、覆盖约 130 个版块的完好绕过,对用户而言仿佛从未发生过。
这一处分模式并非初度出现。第一次绕过(CVE-2025-66479)的草率花式简直如出一辙:Anthropic 将 CVE 仅分派给底层库 @anthropic-ai/sandbox-runtime(CVSS 评分仅 1.8," Low "),而非面向用户的产物 Claude Code;更新日记中写的是" Fixed proxy DNS resolution "(斥地了代理 DNS 解析),未说起安全疏忽。关傲男在酌量敷陈中对此写谈:"当 React Server Components 出现严重疏忽时,React 和 Next.js 各自得到了孤立的 CVE,Meta 和 Vercel 都发布了安全布告,两个社区都得到了充分见告。Anthropic 选拔了不同的作念法。"扬弃当今,搜索" Claude Code Sandbox CVE "依然无法找到任何官方安全布告。
在草率凭证窃取问题时,Anthropic 选拔封禁ps敕令,但黑名单念念路先天不及——封禁一个敕令,攻击者有无数替代旅途。正确作念法是明确声明Agent只需要哪些器用。而在"评述与戒指"酌量中,Anthropic 虽将疏忽评级升迁至 CVSS 9.4(Critical 级别)并转入独到赏金谋略,发言东谈主却暗意"该器用在讨论上并未针对辅导词注入进行加固"。厂商默许信任模子自身的安全智商,却在系统架构层面困难纵深防备;当疏忽暴泄露这种缺失机,"讨论局限"便成了一个节略的分类——它既承认了问题,又在某种程度上免除了发布安全布告的义务。
更普通的行业图景是,相通的问题不啻于 Anthropic 一家。4 月表露的"评述与戒指"酌量中,Google 的 Gemini CLI 和微软 GitHub 的 Copilot Agent 均被证实存在归拢攻击面,三家公司均阐发并斥地,但莫得一家发布安全布告或CVE编号。Anthropic 支付 100 好意思元赏金,Google 支付 1337 好意思元,GitHub 率先以"已知问题,无法复现"关闭敷陈,在收到逆向工程把柄后以"信息性"标签了案,披发 500 好意思元。统统1937好意思元——而这三款产物覆盖了《资产》百强中绝大多量企业。
诞妄的安全感比莫得安全措施更具危害。莫得沙箱的用户知谈我方莫得范畴;领有龙套沙箱的用户以为我方有。一个运行 Claude Code 并设立了域名白名单的团队,在 5.5 个月里对风险绝不知情,升级后看到更新日记只会得出论断:沙箱一直在正常职责。此外,当疏忽被表露后,莫得安全布告意味着用户无法判断我方是否曾受到影响,也困难回溯审计的依据。
靠近这一近况,安全社区运行造成共鸣:不行将信任单点化地押注在厂商的沙箱终了上。Claude Code 的 SOCKS5 代理构建在一个仅 10 个 GitHub Star、终末提交停留在 2024 年 6 月的第三方 npm 包之上,安全范畴横跨 JavaScript 和 C 两种运行时,却在信任接壤处攻击最基本的法子化处分。斥地补丁中添加的isValidHost ( ) 函数——负责拒却空字节、百分号编码、CRLF 等坐法字符——本应从沙箱上线第一天就存在。关傲男建议了一个求实的防备框架——将 AI Agent 视为需要解任最小权限原则的超等职工,中枢在于多层防备:
安全的声誉建立在每一次表露和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给 Agent 处分时,厂商有义务确保防地灵验,也有义务在失效时实时见告。这两点,Anthropic 在 Claude Code 沙箱上都未能作念到。
"沙箱最坏的扬弃不是阻扰了什么,而是给了东谈主们一种诞妄的安全感。发布一个有疏忽的沙箱,比不发布沙箱更晦气。"——关傲男暗意。
(本文首发钛媒体 APP,作家 | 硅谷 Tech_news,剪辑 | 焦燕)
参考贵寓:
1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)
2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)开云2026世界杯赛程分析官网
备案号: