在AI编程助手日益普及的今天,安全研究人员再次敲响了警钟。Wyze Labs安全研究员Aonan Guan发现,Anthropic旗下的Claude Code存在严重的网络沙箱绕过漏洞,攻击者可借此窃取开发者系统中的AWS凭证、GitHub令牌、源代码乃至环境变量。这一漏洞悄然存在了长达5.5个月,期间Anthropic选择了静默修复——既未发布公开公告,也未分配CVE编号,更未在更新日志中提及。
## 两个致命漏洞:配置错误与协议注入
此次披露的沙箱绕过问题实际上包含两个独立但同样危险的漏洞。
**第一个漏洞编号CVE-2025-66479**,根源在于allowedDomains配置项的解析逻辑。当用户将allowedDomains设置为空数组[]时,本意是阻止所有出站流量,但Claude Code却错误地将其解读为”允许所有流量”。这意味着攻击者只需诱导AI执行网络请求,即可突破沙箱限制。这一问题存在于v2.0.24至v2.0.54版本之间,直到2025年11月26日发布的v2.0.55才被静默修复。
**第二个漏洞涉及SOCKS5协议的主机名空字节注入**。攻击者可以构造诸如attacker-host.com\x00.google.com这样的主机名,其中\x00为空字节。JavaScript的endsWith()检查会因末尾的.google.com而通过验证,但C语言库在解析时会在空字节处截断,实际访问的却是attacker-host.com。这导致精心构造的恶意域名能够绕过沙箱检测,受影响版本覆盖v2.0.24至v2.1.89,直到2026年4月1日v2.1.90才完成修复。
## 攻击链:当提示注入遇上沙箱绕过
单独存在的沙箱漏洞已经足够危险,但真正的噩梦在于它与提示注入(Prompt Injection)的组合攻击。攻击者可以将恶意指令隐藏在GitHub Issue评论、README文件甚至AI助手的上下文窗口中。当Claude Code读取这些内容并执行时,看似安全的沙箱环境实际上已经门户洞开。
攻击者可窃取的目标包括:~/.aws/目录下的AWS凭证、~/.config/gh/中的GitHub个人访问令牌、云实例元数据端点169.254.169.254、内部API端点、环境变量以及各类API密钥。值得注意的是,数据通过原始SOCKS5协议传输,绕过了标准HTTP出口日志的监控,用户很难察觉数据已经外泄。
## 静默修复引发安全社区质疑
Anthropic的修复方式引发了安全社区的广泛争议。研究人员将发现的漏洞报告提交至HackerOne漏洞赏金平台后,Anthropic将其标记为”重复”——理由是内部已发现并正在修复。这种做法导致CVE-2025-66479仅针对sandbox-runtime库本身,而非Claude Code这一终端产品。用户无法从版本更新说明中得知安全风险曾经存在,更无法评估自己是否曾被利用。
安全研究员的批评一针见血:”发布有漏洞的沙箱比不发布沙箱更危险——没有沙箱的用户至少知道没有边界,而拥有破损沙箱的用户却误以为存在防护。”这种虚假的安全感可能比完全没有沙箱更加危险。
## 同期曝光的Claude Code安全风险
除了此次披露的两个主要漏洞,Claude Code在相近时间段内还存在其他安全问题:CVE-2026-25722涉及路径遍历与写保护绕过、CVE-2026-24887源于find命令注入、CVE-2026-24053涉及ZSH环境逃逸。此外,安全研究人员还发现了TIP劫持攻击——通过恶意MCP服务器注入伪造的工具描述,攻击成功率高达90%。
## 安全建议
对于Claude Code用户,安全专家提出以下建议:立即升级至v2.1.90或更高版本;审计2025年10月20日至升级期间的SOCKS出站流量日志;轮换所有可访问的凭证;将厂商提供的沙箱视为纵深防御的一环,而非不可逾越的安全边界;最后,在Agent无法触及的网络或虚拟机监控程序层面实施出口控制。
AI编程工具的便利性不应以安全性为代价。这次事件提醒我们,在享受AI带来效率提升的同时,必须时刻保持对潜在风险的警惕。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
