Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
SecurityWeek · 21.5., 12:21 · sikkerhet

Anthropic patcher stille en sandbox-omgåelse i Claude Code

SYNOPSIS_GENERERT

Sikkerhetsforsker Aonan Guan fant en SOCKS5 null-byte-injeksjon som lot angripere omgå Claude Codes nettverkssandkasse. Anthropic patchet feilen uten CVE eller varsel i release-notatene.

Hvor mye beskyttelse gir en nettverkssandkasse hvis et enkelt null-byte kan gå rundt den, og du aldri får vite at den var av? Sikkerhetsforsker Aonan Guan dokumenterte en SOCKS5 hostname null-byte-injeksjon i Claude Codes nettverkssandkasse. Sandkassen ruter all utgående trafikk gjennom en lokal allowlist-proxy, men en angriper kan sende et vertsnavn som attacker-host.com\x00.google.com. Filteret ser den synlige .google.com-halen og godkjenner, mens operativsystemet kutter ved null-byten og kobler til angriperens vert i stedet.

Feilen var til stede fra sandkassen ble allment tilgjengelig 20. oktober 2025 og frem til våren 2026, et vindu på rundt fem måneder der en oppsett med aktiv sandkasse i praksis kunne omgås. Det alvorlige er kombinasjonen med prompt injection. Guan, som nylig avdekket angrepsmetoden «Comment and Control» mot KI-kodeagenter på GitHub Actions, peker på at en angriper som først kaprer agenten via en preparert PR-kommentar deretter kunne brukt null-byte-trikset til å sende ut miljøvariabler, tokens og legitimasjon forbi sandkassen.

«Et team som kjørte den sårbare konfigurasjonen i produksjon hadde ingen måte å vite at sandkassen i praksis var av, og fikk heller ingen beskjed i etterkant om at den noen gang hadde vært det.» — Aonan Guan, sikkerhetsforsker

Guan er også kritisk til at Anthropic ikke tildelte en egen CVE for feilen og ikke nevnte den i release-notatene. Den separate omgåelsen som ble rettet i fjor, CVE-2025-66479, ble dessuten tildelt mot biblioteket «sandbox-runtime» og ikke mot Claude Code selv.

«CVE-en ble tildelt mot et bibliotek de fleste Claude Code-brukere ikke vet eksisterer ved navn.» — Aonan Guan

Anthropic er uenig i tidslinjen. Selskapet sier til SecurityWeek at sikkerhetsteamet selv identifiserte og fikset problemet før Guans rapport, i en offentlig commit 27. mars og utrullet i Claude Code 2.1.88 den 31. mars, tre dager før Guan meldte feilen via HackerOne. Guan på sin side daterer fiksen til versjon 2.1.90 i april.

Hva bør du gjøre?

  1. Oppdater Claude Code til minst versjon 2.1.90 hvis du kjører agenten med nettverkssandkassen aktivert.
  2. Ikke stol på allowlist-sandkasser alene som siste forsvarslinje rundt agenter som leser utrustet input som PR-er, issues og e-post. Kjør agenten i et isolert miljø uten tilgang til hemmeligheter.
  3. Sjekk avhengigheter mot «sandbox-runtime»-biblioteket direkte, siden CVE-en ble tildelt der og ikke mot Claude Code.

Bakgrunn

Claude Codes nettverkssandkasse ble allment tilgjengelig 20. oktober 2025 og skal hindre agenten i å nå verter utenfor en godkjent liste. Den separate omgåelsen CVE-2025-66479 ble funnet av en annen forsker og rettet 26. november 2025. Den tolket en innstilling om å blokkere all utgående trafikk som «tillat alt».

Åpne eksternt kildedokument
sikkerhetclaude-codeAnthropic

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN