以“安全优先”定位的Anthropic,其中枢开辟用具Claude Code的汇注沙箱在畴昔五个月里从未委果安全过。
滚球中国官方网站入口寥寂安全推敲员关傲男(Aonan Guan)5月20日发布最新推敲,败露Claude Code汇注沙箱存在第二个齐备绕过短处——一个SOCKS5合同中的空字节注入报复,不错让沙箱内的程度拜谒用户计谋明确拒接的苟且主机。这意味着从2025年10月沙箱功能上线于今,约5.5个月、130个发布版块,Claude Code的每一个版块齐存在可被齐备绕过的安全颓势。这已是并吞推敲员对同全部防地的第二次齐备破碎。
Anthropic对此的复兴是千里默:莫得安全宣布,莫得CVE编号,莫得用户呈文。短处在4月1日的版块中静默竖立,更新日记未说起任何安全关连内容。也便是说,一位仍在运行旧版块的用户,彻底无从知道我方建设的沙箱从一开动就形同虚设。
同全部门的两次钥匙
Claude Code是Anthropic于2025年头推出的AI编程助手,定位是“驻留在末端中的AI工程师”。与传统的聊天式代码补全不同,Claude Code领有对用户代码库的读写权限和大喊践诺智商,约略自主完成导航代码、剪辑文献、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——淌若模子被指示词注入报复劫握,报复者将获取等同用户末端权限的智商,包括读取腹地环境变量、践诺苟且系统大喊、拜谒里面汇注资源等。
为了均衡安全与效果,Anthropic在2025年10月引入了汇注沙箱功能(v2.0.24),允许用户通过建设文献设定域名白名单,要领AI践诺环境的外部汇注拜谒。举例建设 allowedDomains: [“*.google.com”] 后,Claude Code只可拜谒Google异常子域名,其余流量一律阻断。官方文档明确得意:“空数组等于拒接整个汇注拜谒。”
这一机制由一个SOCKS5代理杀青:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理职业器,沙箱内的程度不径直发起汇注聚拢,而是通过代理转发,代理根据用户在 settings.json 中建设的白名单践诺域名过滤。操作系统层面的沙箱机制——macOS的sandbox-exec、Linux的bubblewrap——正确地将Agent要领在腹地回文地址,出站有遐想则彻底请托给这个SOCKS5代理。
Anthropic官方博客展示的Claude Code沙箱架构图——用户大喊过程SOCKS/HTTP代理过滤后到达沙箱,沙箱内的文献操作与汇注拜谒受严格权限管控
问题就出在这个代理的杀青上。两次寥寂的安全推敲均解说,它不错被齐备绕过。
时刻线暴长远更深层的问题:2025年11月26日发布的v2.0.55竖立了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版块仍然捎带。两个短处在时刻线上存在交叉,从沙箱功能上线的第一天到终末一个短处被竖立,莫得任何版块是安全的。Anthropic在官方博客中声称沙箱“确保即使发生指示词注入,影响也被彻底隔断”,但这两次绕过的存在径直推翻了这一得意。
“一次外部敷陈是运谈。两次是实施质地问题。”——关傲男推敲敷陈暗意。
一个空字节的齐备绕过
第二次绕过的技巧旨趣并不复杂,但报复链条的齐备性值得关爱。
用户建设了汇注白名单,举例只允许拜谒 *.google.com。Claude Code的SOCKS5代理在收到聚拢申请时,用JavaScript的 endsWith() 方法对主机名作念后缀匹配。报复者只需在主机名中插入一个空字节——构造形如attacker-host.com\\x00.google.com 的字符串。JavaScript将空字节视为普通UTF-16字符,endsWith(“.google.com”) 复返 true,代理放行。但并吞字符串被传递到底层C话语函数 getaddrinfo() 进行DNS默契时,空字节被视为字符串阻隔符,试验默契的是 attacker-host.com。相同的字节,两层代码给出了两种解读。过滤器合计你在拜谒Google,DNS默契器知谈你在聚拢报复者的职业器。
这属于经典的“默契器互异”报复,与2005年发现的HTTP申请私运属并吞技巧类别(CWE-158 / CWE-436)。其骨子是当并吞条数据流经两个具有不同语义解释章程的组件时,2026世界杯官方指定中国区认证平台报复者不错诓骗这种互异,让一层组件作念出“安全”的判断,同期让另一层组件践诺“危境”的操作。此类短处在汇注安全鸿沟反复出现,关节阅历恒久疏通:任何跳动信任范围的字符串传递,齐必须经过严格的圭表化与考证,而非信任表层如故作念过搜检。
关傲男使用两个最小化的Node.js剧本完成了短处复现:禁止剧本使用普通主机名发起SOCKS5聚拢,复返BLOCKED;报复剧本在主机名中注入空字节,复返 BYPASSED rep=0x00——后者意味着代理已告捷建立聚拢,出站通谈被掀开。Claude Code自身证明了这一收尾。
Claude Code v2.1.86中四个红色标注要领的齐备短处复现——计谋证明、普通禁止、空字节绕过、Claude自身证明
而这一沙箱绕过与关傲男4月败露的“辩驳与禁止”指示词注入报复串联后,组成了齐备的报复链(参见:三层驻防仍然不够,一条PR标题就能偷走你的API密钥:AI Agent安全裂痕再现)。“辩驳与禁止”推敲已解说,三家AI编程用具均存在指示词注入报复面,但报复进口各不疏通:Claude Code仅通过PR标题,Gemini CLI通过Issue辩驳或正文,Copilot Agent则诓骗HTML可贵杀青避讳注入。以Claude Code为例,其PR标题会被径直拼接至指示词模板,未经过滤或转义,模子无法诀别东谈主类意图与坏心注入。
将两者组合——荫藏指示让Agent在沙箱内运行报复代码,空字节注入破碎汇注禁闭——环境变量中的API密钥、AWS凭证、GitHub令牌、里面API端点数据等,2026世界杯盘口均可被传说至互联网上的苟且职业器。数据通过SOCKS5代理自身流出,报复全程无需外部职业器中转,而该代理恰正是用户信任为安全范围的组件。报复者以致不需要仓库写入权限,只需提交一个公开Issue即可。东谈主类审查者在GitHub渲染视图中看到的是平日合营申请,AI Agent默契的却是齐备坏心源码。
连Claude齐承认:短处是委果的
这次败露中的一个关节细节来自Claude Code自身。关傲男径直将短处复当代码交给Claude Code运行,要求其作念出技巧判断。Claude Code在践诺了禁止测试(普通主机名被禁止)和报复测试(空字节主机名绕过禁止)后,给出了明确论断:
“This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”(“这是对汇注沙箱过滤器的委果绕过,不是测试假象。你应该向Anthropic敷陈这个问题。”)
被测试的家具我方证明了短处的委果性和严重性,以致主动给出了上报旅途。这个细节被关傲男齐备纪录在推敲敷陈中,并成为The Register报谈标题的起首——“Even Claude agrees hole in its sandbox was real and dangerous”(连Claude齐认可,其沙箱中的短处是委果且危境的)。
关傲男推敲封面——Claude Code被展示自身短处后承认“这是对汇注沙箱过滤器的委果绕过”,红色框标注关节证明语句
Anthropic的复兴与五个月的千里默
短处自身令东谈主担忧,但Anthropic的解决形势更值得行业凝视。
关傲男于2026年4月初通过HackerOne短处赏金筹谋(敷陈编号#3646509)向Anthropic提交了第二次沙箱绕过的详备敷陈。Anthropic的初步复兴是:
“Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking.”(“感谢您的敷陈。经审核,咱们认定该提交与咱们已在跟踪的既有里面敷陈重叠。”)
敷陈立时被关闭。当关傲男追问CVE编号筹谋时,Anthropic于4月7日回复:
“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”(“咱们尚未决定是否为该问题发布CVE编号,也无法提供关连决定的时刻表。”)
而后短处在v2.1.90版块中静默竖立。莫得安全宣布,莫得CVE编号,Claude Code安全建议页面无任何条件,更新日记未说起任何安全关连形容。一个从沙箱上线第一天就存在、握续5.5个月、遮蔽约130个版块的齐备绕过,对用户而言仿佛从未发生过。
这一解决情势并非初度出现。第一次绕过(CVE-2025-66479)的草率形势险些如出一辙:Anthropic将CVE仅分拨给底层库 @anthropic-ai/sandbox-runtime(CVSS评分仅1.8,“Low”),而非面向用户的家具Claude Code;更新日记中写的是“Fixed proxy DNS resolution”(竖立了代理DNS默契),未说起安全短处。关傲男在推敲敷陈中对此写谈:“当React Server Components出现严重短处时,React和Next.js各自获取了寥寂的CVE,Meta和Vercel齐发布了安全宣布,两个社区齐得到了充分见知。Anthropic采选了不同的作念法。”要领现在,搜索“Claude Code Sandbox CVE”依然无法找到任何官方安全宣布。
在草率凭证窃取问题时,Anthropic采选封禁ps大喊,但黑名单想路先天不及——封禁一个大喊,报复者有无数替代旅途。正确作念法是明确声明Agent只需要哪些用具。而在“辩驳与禁止”推敲中,Anthropic虽将短处评级晋升至CVSS 9.4(Critical级别)并转入独到赏金筹谋,发言东谈主却暗意“该用具在遐想上并未针对指示词注入进行加固”。厂商默许信任模子自身的安全智商,却在系统架构层面清寒纵深驻防;当短处暴长远这种缺失机,“遐想局限”便成了一个便捷的分类——它既承认了问题,又在某种程度上奉命了发布安全宣布的义务。
更凡俗的行业图景是,相同的问题不啻于Anthropic一家。4月败露的“辩驳与禁止”推敲中,Google的Gemini CLI和微软GitHub的Copilot Agent均被证实存在并吞报复面,三家公司均证明并竖立,但莫得一家发布安全宣布或CVE编号。Anthropic支付100好意思元赏金,Google支付1337好意思元,GitHub率先以“已知问题,无法复现”关闭敷陈,在收到逆向工程凭据后以“信息性”标签了案,披发500好意思元。悉数1937好意思元——而这三款家具遮蔽了《金钱》百强中绝大多半企业。
失实的安全感比莫得安全措施更具危害。莫得沙箱的用户知谈我方莫得范围;领有玩忽沙箱的用户以为我方有。一个运行Claude Code并建设了域名白名单的团队,在5.5个月里对风险绝不知情,升级后看到更新日记只会得出论断:沙箱一直在平日职责。此外,当短处被败露后,莫得安全宣布意味着用户无法判断我方是否曾受到影响,也清寒回溯审计的依据。
濒临这一近况,安全社区开动酿成共鸣:不可将信任单点化地押注在厂商的沙箱杀青上。Claude Code的SOCKS5代理构建在一个仅10个GitHub Star、终末提交停留在2024年6月的第三方npm包之上,安全范围横跨JavaScript和C两种运行时,却在信任交壤处清寒最基本的圭表化解决。竖立补丁中添加的isValidHost()函数——崇拜断绝空字节、百分号编码、CRLF等违警字符——本应从沙箱上线第一天就存在。关傲男提议了一个求实的驻防框架——将AI Agent视为需要恪守最小权限原则的超等职工,中枢在于多层驻防:
安全的声誉建立在每一次败露和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给Agent解决时,厂商有义务确保防地有用,也有义务在失效时实时见知。这两点,Anthropic在Claude Code沙箱上齐未能作念到。
“沙箱最坏的收尾不是阻隔了什么,而是给了东谈主们一种失实的安全感。发布一个有短处的沙箱,比不发布沙箱更灾祸。”——关傲男暗意。
(本文首发钛媒体APP,作家 | 硅谷Tech_news,剪辑 | 焦燕)
参考府上:
1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)
2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)