让不懂建站的用户快速建站,让会建站的提高建站效率!
以"安全优先"定位的 Anthropic,其中枢开荒器具 Claude Code 的汇聚沙箱在往时五个月里从未信得过安全过。
独处安全商榷员关傲男(Aonan Guan)5 月 20 日发布最新商榷,露馅 Claude Code 汇聚沙箱存在第二个完好绕过粗放——一个 SOCKS5 契约中的空字节注入袭击,不错让沙箱内的进度看望用户计策明确不容的轻易主机。这意味着从 2025 年 10 月沙箱功能上线于今,约 5.5 个月、130 个发布版块,Claude Code的每一个版块都存在可被完好绕过的安全颓势。这已是归并商榷员对同沿路防地的第二次完好打破。
Anthropic 对此的恢复是千里默:莫得安全晓示,莫得 CVE 编号,莫得用户文书。粗放在 4 月 1 日的版块中静默成立,更新日记未说起任何安全关系内容。也即是说,一位仍在运行旧版块的用户,王人备无从领路我方竖立的沙箱从一运行就形同虚设。
同沿路门的两次钥匙
Claude Code 是 Anthropic 于 2025 岁首推出的 AI 编程助手,定位是"驻留在终局中的 AI 工程师"。与传统的聊天式代码补全不同,Claude Code 领有对用户代码库的读写权限和号令推论能力,粗略自主完成导航代码、裁剪文献、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——若是模子被请示词注入袭击劫合手,袭击者将得回等同用户终局权限的能力,包括读取腹地环境变量、推论轻易系统号令、看望里面汇聚资源等。
为了均衡安全与效果,Anthropic 在 2025 年 10 月引入了汇聚沙箱功能(v2.0.24),允许用户通过竖立文献设定域名白名单,限定 AI 推论环境的外部汇聚看望。举例竖立 allowedDomains: [ " *.google.com " ] 后,Claude Code 只可看望 Google 偏激子域名,其余流量一律阻断。官方文档明确高兴:"空数组等于不容总共汇聚看望。"
这一机制由一个 SOCKS5 代理结束:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理工作器,沙箱内的进度不径直发起汇聚一语气,而是通过代理转发,代理根据用户在 settings.json 中竖立的白名单推论域名过滤。操作系统层面的沙箱机制—— macOS 的 sandbox-exec、Linux 的 bubblewrap ——正确地将 Agent 限定在腹地回文地址,出站方案则王人备委用给这个 SOCKS5 代理。
Anthropic 官方博客展示的 Claude Code 沙箱架构图——用户号令经过 SOCKS/HTTP 代理过滤后到达沙箱,沙箱内的文献操作与汇聚看望受严格权限管控
问题就出在这个代理的结束上。两次独处的安全商榷均评释,它不错被完好绕过。
期间线暴浮现更深层的问题:2025 年 11 月 26 日发布的 v2.0.55 成立了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版块仍然佩带。两个粗放在期间线上存在交叉,从沙箱功能上线的第一天到临了一个粗放被成立,莫得任何版块是安全的。Anthropic 在官方博客中声称沙箱"确保即使发生请示词注入,影响也被王人备阻塞",但这两次绕过的存在径直推翻了这一高兴。
"一次外部申报是运说念。两次是实施质地问题。"——关傲男商榷申报泄露。
一个空字节的完好绕过
第二次绕过的手艺旨趣并不复杂,但袭击链条的完好性值得柔柔。
用户竖立了汇聚白名单,举例只允许看望 *.google.com。Claude Code 的 SOCKS5 代理在收到一语气苦求时,用 JavaScript 的 endsWith ( ) 方法对主机名作念后缀匹配。袭击者只需在主机名中插入一个空字节——构造形如 attacker-host.comx00.google.com 的字符串。JavaScript 将空字节视为普通 UTF-16 字符,endsWith ( " .google.com " ) 复返 true,代理放行。但归并字符串被传递到底层 C 话语函数 getaddrinfo ( ) 进行 DNS 领悟时,空字节被视为字符串隔断符,践诺领悟的是 attacker-host.com。通常的字节,两层代码给出了两种解读。过滤器以为你在看望 Google,DNS 领悟器知说念你在一语气袭击者的工作器。
这属于经典的"领悟器各异"袭击,与 2005 年发现的 HTTP 苦求私运属归并手艺类别(CWE-158 / CWE-436)。其骨子是当归并条数据流经两个具有不同语义解释端正的组件时,袭击者不错诳骗这种各异,让一层组件作念出"安全"的判断,同期让另一层组件推论"危急"的操作。此类粗放在汇聚安全鸿沟反复出现,要害资格恒久调换:任何进步信任鸿沟的字符串传递,都必须经过严格的规律化与考据,而非信任表层还是作念过查抄。
关傲男使用两个最小化的 Node.js 剧本完成了粗放复现:戒指剧本使用普通主机名发起 SOCKS5 一语气,复返 BLOCKED;袭击剧本在主机名中注入空字节,复返 BYPASSED rep=0x00 ——后者意味着代理已告捷建立一语气,出站通说念被掀开。Claude Code 自身证实了这一结尾。
Claude Code v2.1.86 中四个红色标注要领的完好粗放复现——计策证实、普通阻碍、空字节绕过、Claude 自身证实
而这一沙箱绕过与关傲男 4 月露馅的"评述与戒指"请示词注入袭击串联后,组成了完好的袭击链。"评述与戒指"商榷已评释,三家 AI 编程器具均存在请示词注入袭击面,但袭击进口各不调换:Claude Code 仅通过 PR 标题,Gemini CLI 通过 Issue 评述或正文,Copilot Agent 则诳骗 HTML 注释结束遮挡注入。以 Claude Code 为例,其 PR 标题会被径直拼接至请示词模板,未经过滤或转义,模子无法隔离东说念主类意图与坏心注入。
将两者组合——隐私指示让 Agent 在沙箱内运行袭击代码,空字节注入打破汇聚顽固——环境变量中的API密钥、AWS凭证、GitHub令牌、里面API端点数据等,均可被传奇至互联网上的轻易工作器。数据通过 SOCKS5 代理自己流出,袭击全程无需外部工作器中转,而该代理恰正是用户信任为安全鸿沟的组件。袭击者以致不需要仓库写入权限,只需提交一个公开 Issue 即可。东说念主类审查者在 GitHub 渲染视图中看到的是往常互助苦求,AI Agent 领悟的却是完犀利心源码。
连 Claude 都承认:粗放是确切的
这次露馅中的一个要害细节来自 Claude Code 自身。关傲男径直将粗放复当代码交给 Claude Code 运行,要求其作念最先艺判断。Claude Code 在推论了戒指测试(普通主机名被阻碍)和袭击测试(空字节主机名绕过阻碍)后,给出了明确论断:
" This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues. "("这是对汇聚沙箱过滤器竟然切绕过,不是测试假象。你应该向 Anthropic 申报这个问题。")
被测试的居品我方证实了粗放竟然切性和严重性,以致主动给出了上报旅途。这个细节被关傲男完好记载在商榷申报中,并成为 The Register 报说念标题的着手——" Even Claude agrees hole in its sandbox was real and dangerous "(连 Claude 都认可,其沙箱中的粗放是确切且危急的)。
关傲男商榷封面—— Claude Code 被展示自身粗放后承认"这是对汇聚沙箱过滤器竟然切绕过",红色框标注要害证实语句
Anthropic 的恢复与五个月的千里默
粗放自己令东说念主担忧,但 Anthropic 的处置神志更值得行业注视。
关傲男于 2026 年 4 月初通过 HackerOne 粗放赏金筹画(申报编号 #3646509)向 Anthropic 提交了第二次沙箱绕过的防止申报。Anthropic 的初步恢复是:
" Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking. "("感谢您的申报。经审核,咱们认定该提交与咱们已在跟踪的既有里面申报相通。")
申报马上被关闭。当关傲男追问 CVE 编号筹画时,Anthropic 于 4 月 7 日回复:
" We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision. "("咱们尚未决定是否为该问题发布 CVE 编号,也无法提供关系决定的期间表。")
而后粗放在 v2.1.90 版块中静默成立。莫得安全晓示,莫得CVE编号,Claude Code安全建议页面无任何条款,更新日记未说起任何安全关系描摹。一个从沙箱上线第一天就存在、合手续 5.5 个月、覆盖约 130 个版块的完好绕过,对用户而言仿佛从未发生过。
这一处置形式并非初度出现。第一次绕过(CVE-2025-66479)的支吾神志简直如出一辙:Anthropic 将 CVE 仅分派给底层库 @anthropic-ai/sandbox-runtime(CVSS 评分仅 1.8," Low "),而非面向用户的居品 Claude Code;更新日记中写的是" Fixed proxy DNS resolution "(成立了代理 DNS 领悟),未说起安全粗放。关傲男在商榷申报中对此写说念:"当 React Server Components 出现严重粗放时,React 和 Next.js 各自得回了独处的 CVE,Meta 和 Vercel 都发布了安全晓示,两个社区都得到了充分示知。Anthropic 接纳了不同的作念法。"放胆现在,搜索" Claude Code Sandbox CVE "依然无法找到任何官方安全晓示。
在支吾凭证窃取问题时,Anthropic 接纳封禁ps号令,但黑名单想路先天不及——封禁一个号令,袭击者有无数替代旅途。正确作念法是明确声明Agent只需要哪些器具。而在"评述与戒指"商榷中,Anthropic 虽将粗放评级擢升至 CVSS 9.4(Critical 级别)并转入特有赏金筹画,发言东说念主却泄露"该器具在诡计上并未针对请示词注入进行加固"。厂商默许信任模子自身的安万能力,却在系统架构层面宝贵纵深败北;当粗放暴浮现这种缺失机,"诡计局限"便成了一个便捷的分类——它既承认了问题,又在某种程度上除名了发布安全晓示的义务。
更无为的行业图景是,通常的问题不啻于 Anthropic 一家。4 月露馅的"评述与戒指"商榷中,Google 的 Gemini CLI 和微软 GitHub 的 Copilot Agent 均被证实存在归并袭击面,三家公司均证实并成立,但莫得一家发布安全晓示或CVE编号。Anthropic 支付 100 好意思元赏金,Google 支付 1337 好意思元,GitHub 当先以"已知问题,无法复现"关闭申报,在收到逆向工程根据后以"信息性"标签了案,披发 500 好意思元。共计1937好意思元——而这三款居品覆盖了《资产》百强中绝大多量企业。
诞妄的安全感比莫得安全措施更具危害。莫得沙箱的用户知说念我方莫得鸿沟;领有龙套沙箱的用户以为我方有。一个运行 Claude Code 并竖立了域名白名单的团队,在 5.5 个月里对风险绝不知情,升级后看到更新日记只会得出论断:沙箱一直在往常使命。此外,当粗放被露馅后,莫得安全晓默示味着用户无法判断我方是否曾受到影响,也宝贵回溯审计的依据。
靠近这一近况,安全社区运行造成共鸣:不行将信任单点化地押注在厂商的沙箱结束上。Claude Code 的 SOCKS5 代理构建在一个仅 10 个 GitHub Star、临了提交停留在 2024 年 6 月的第三方 npm 包之上,安全鸿沟横跨 JavaScript 和 C 两种运行时,却在信任交壤处短少最基本的规律化处置。成立补丁中添加的isValidHost ( ) 函数——端庄断绝空字节、百分号编码、CRLF 等犯罪字符——本应从沙箱上线第一天就存在。关傲男提议了一个求实的败北框架——将 AI Agent 视为需要礼服最小权限原则的超等职工,中枢在于多层败北:
安全的声誉建立在每一次露馅和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给 Agent 处置时,厂商有义务确保防地有用,也有义务在失效时实时示知。这两点,Anthropic 在 Claude Code 沙箱上都未能作念到。
"沙箱最坏的结尾不是箝制了什么,而是给了东说念主们一种诞妄的安全感。发布一个有粗放的沙箱,比不发布沙箱更厄运。"——关傲男泄露。
(本文首发钛媒体 APP,作家 | 硅谷 Tech_news,裁剪 | 焦燕)
参考良友:
1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)
2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)实盘配资炒股时,股票成交速度会受影响吗
实盘配资炒股时,股票成交速度会受影响吗提示:本文来自互联网,不代表本网站观点。
