能隨意竊取數(shù)據(jù)！這款熱門 AI 編程工具曝重大隱患

以“安全優(yōu)先”定位的Anthropic，其核心開發(fā)工具Claude Code的網(wǎng)絡沙箱在過去五個月里從未真正安全過。

獨立安全研究員關傲男（Aonan Guan）5月20日發(fā)布最新研究，披露Claude Code網(wǎng)絡沙箱存在第二個完整繞過漏洞——一個SOCKS5協(xié)議中的空字節(jié)注入攻擊，可以讓沙箱內的進程訪問用戶策略明確禁止的任意主機。這意味著從2025年10月沙箱功能上線至今，約5.5個月、130個發(fā)布版本，Claude Code的每一個版本都存在可被完整繞過的安全缺陷。這已是同一研究員對同一道防線的第二次完整突破。

Anthropic對此的回應是沉默：沒有安全通告，沒有CVE編號，沒有用戶通知。漏洞在4月1日的版本中靜默修復，更新日志未提及任何安全相關內容。也就是說，一位仍在運行舊版本的用戶，完全無從知曉自己配置的沙箱從一開始就形同虛設。

同一道門的兩次鑰匙

Claude Code是Anthropic于2025年初推出的AI編程助手，定位是“駐留在終端中的AI工程師”。與傳統(tǒng)的聊天式代碼補全不同，Claude Code擁有對用戶代碼庫的讀寫權限和命令執(zhí)行能力，能夠自主完成導航代碼、編輯文件、運行測試等一系列操作。這種深度介入也意味著極高的安全風險——如果模型被提示詞注入攻擊劫持，攻擊者將獲得等同用戶終端權限的能力，包括讀取本地環(huán)境變量、執(zhí)行任意系統(tǒng)命令、訪問內部網(wǎng)絡資源等。

為了平衡安全與效率，Anthropic在2025年10月引入了網(wǎng)絡沙箱功能（v2.0.24），允許用戶通過配置文件設定域名白名單，限制AI執(zhí)行環(huán)境的外部網(wǎng)絡訪問。例如配置 allowedDomains: [“*.google.com”] 后，Claude Code只能訪問Google及其子域名，其余流量一律阻斷。官方文檔明確承諾：“空數(shù)組等于禁止所有網(wǎng)絡訪問。”

這一機制由一個SOCKS5代理實現(xiàn)：底層沙箱運行時（@anthropic-ai/sandbox-runtime）啟動代理服務器，沙箱內的進程不直接發(fā)起網(wǎng)絡連接，而是通過代理轉發(fā)，代理根據(jù)用戶在 settings.json 中配置的白名單執(zhí)行域名過濾。操作系統(tǒng)層面的沙箱機制——macOS的sandbox-exec、Linux的bubblewrap——正確地將Agent限制在本地回環(huán)地址，出站決策則完全委托給這個SOCKS5代理。

Anthropic官方博客展示的Claude Code沙箱架構圖——用戶命令經(jīng)由SOCKS/HTTP代理過濾后到達沙箱，沙箱內的文件操作與網(wǎng)絡訪問受嚴格權限管控

問題就出在這個代理的實現(xiàn)上。兩次獨立的安全研究均證明，它可以被完整繞過。

時間線暴露出更深層的問題：2025年11月26日發(fā)布的v2.0.55修復了第一次繞過，但第二次繞過從沙箱上線的第一天起就已存在，該版本仍然攜帶。兩個漏洞在時間線上存在交叉，從沙箱功能上線的第一天到最后一個漏洞被修復，沒有任何版本是安全的。Anthropic在官方博客中宣稱沙箱“確保即使發(fā)生提示詞注入，影響也被完全隔離”，但這兩次繞過的存在直接推翻了這一承諾。

“一次外部報告是運氣。兩次是實施質量問題。”——關傲男研究報告表示。

一個空字節(jié)的完整繞過

第二次繞過的技術原理并不復雜，但攻擊鏈條的完整性值得關注。

用戶配置了網(wǎng)絡白名單，例如只允許訪問 *.google.com。Claude Code的SOCKS5代理在收到連接請求時，用JavaScript的 endsWith() 方法對主機名做后綴匹配。攻擊者只需在主機名中插入一個空字節(jié)——構造形如attacker-host.com\x00.google.com 的字符串。JavaScript將空字節(jié)視為普通UTF-16字符，endsWith(“.google.com”) 返回 true，代理放行。但同一字符串被傳遞到底層C語言函數(shù) getaddrinfo() 進行DNS解析時，空字節(jié)被視為字符串終止符，實際解析的是 attacker-host.com。同樣的字節(jié)，兩層代碼給出了兩種解讀。過濾器認為你在訪問Google，DNS解析器知道你在連接攻擊者的服務器。

這屬于經(jīng)典的“解析器差異”攻擊，與2005年發(fā)現(xiàn)的HTTP請求走私屬同一技術類別（CWE-158 / CWE-436）。其本質是當同一條數(shù)據(jù)流經(jīng)兩個具有不同語義解釋規(guī)則的組件時，攻擊者可以利用這種差異，讓一層組件做出“安全”的判斷，同時讓另一層組件執(zhí)行“危險”的操作。此類漏洞在網(wǎng)絡安全領域反復出現(xiàn)，關鍵教訓始終相同：任何跨越信任邊界的字符串傳遞，都必須經(jīng)過嚴格的規(guī)范化與驗證，而非信任上層已經(jīng)做過檢查。

關傲男使用兩個最小化的Node.js腳本完成了漏洞復現(xiàn)：控制腳本使用普通主機名發(fā)起SOCKS5連接，返回BLOCKED；攻擊腳本在主機名中注入空字節(jié)，返回 BYPASSED rep=0x00——后者意味著代理已成功建立連接，出站通道被打開。Claude Code自身確認了這一結果。

Claude Code v2.1.86中四個紅色標注步驟的完整漏洞復現(xiàn)——策略確認、普通攔截、空字節(jié)繞過、Claude自身確認

而這一沙箱繞過與關傲男4月披露的“評論與控制”提示詞注入攻擊串聯(lián)后，構成了完整的攻擊鏈（參見：三層防御仍然不夠，一條PR標題就能偷走你的API密鑰：AI Agent安全裂痕再現(xiàn)）。“評論與控制”研究已證明，三家AI編程工具均存在提示詞注入攻擊面，但攻擊入口各不相同：Claude Code僅通過PR標題，Gemini CLI通過Issue評論或正文，Copilot Agent則利用HTML注釋實現(xiàn)隱蔽注入。以Claude Code為例，其PR標題會被直接拼接至提示詞模板，未經(jīng)過濾或轉義，模型無法區(qū)分人類意圖與惡意注入。

將兩者組合——隱藏指令讓Agent在沙箱內運行攻擊代碼，空字節(jié)注入突破網(wǎng)絡封鎖——環(huán)境變量中的API密鑰、AWS憑證、GitHub令牌、內部API端點數(shù)據(jù)等，均可被外傳至互聯(lián)網(wǎng)上的任意服務器。數(shù)據(jù)通過SOCKS5代理本身流出，攻擊全程無需外部服務器中轉，而該代理恰恰是用戶信任為安全邊界的組件。攻擊者甚至不需要倉庫寫入權限，只需提交一個公開Issue即可。人類審查者在GitHub渲染視圖中看到的是正常協(xié)作請求，AI Agent解析的卻是完整惡意源碼。

連Claude都承認：漏洞是真實的

此次披露中的一個關鍵細節(jié)來自Claude Code自身。關傲男直接將漏洞復現(xiàn)代碼交給Claude Code運行，要求其做出技術判斷。Claude Code在執(zhí)行了控制測試（普通主機名被攔截）和攻擊測試（空字節(jié)主機名繞過攔截）后，給出了明確結論：

“This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”（“這是對網(wǎng)絡沙箱過濾器的真實繞過，不是測試假象。你應該向Anthropic報告這個問題。”）

被測試的產(chǎn)品自己確認了漏洞的真實性和嚴重性，甚至主動給出了上報路徑。這個細節(jié)被關傲男完整記錄在研究報告中，并成為The Register報道標題的來源——“Even Claude agrees hole in its sandbox was real and dangerous”（連Claude都認同，其沙箱中的漏洞是真實且危險的）。

關傲男研究封面——Claude Code被展示自身漏洞后承認“這是對網(wǎng)絡沙箱過濾器的真實繞過”，紅色框標注關鍵確認語句

Anthropic的回應與五個月的沉默

漏洞本身令人擔憂，但Anthropic的處理方式更值得行業(yè)審視。

關傲男于2026年4月初通過HackerOne漏洞賞金計劃（報告編號#3646509）向Anthropic提交了第二次沙箱繞過的詳細報告。Anthropic的初步回應是：

“Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking.”（“感謝您的報告。經(jīng)審核，我們認定該提交與我們已在追蹤的既有內部報告重復。”）

報告隨即被關閉。當關傲男追問CVE編號計劃時，Anthropic于4月7日回復：

“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”（“我們尚未決定是否為該問題發(fā)布CVE編號，也無法提供相關決定的時間表。”）

此后漏洞在v2.1.90版本中靜默修復。沒有安全通告，沒有CVE編號，Claude Code安全建議頁面無任何條目，更新日志未提及任何安全相關描述。一個從沙箱上線第一天就存在、持續(xù)5.5個月、覆蓋約130個版本的完整繞過，對用戶而言仿佛從未發(fā)生過。

這一處理模式并非首次出現(xiàn)。第一次繞過（CVE-2025-66479）的應對方式幾乎如出一轍：Anthropic將CVE僅分配給底層庫 @anthropic-ai/sandbox-runtime（CVSS評分僅1.8，“Low”），而非面向用戶的產(chǎn)品Claude Code；更新日志中寫的是“Fixed proxy DNS resolution”（修復了代理DNS解析），未提及安全漏洞。關傲男在研究報告中對此寫道：“當React Server Components出現(xiàn)嚴重漏洞時，React和Next.js各自獲得了獨立的CVE，Meta和Vercel都發(fā)布了安全通告，兩個社區(qū)都得到了充分告知。Anthropic選擇了不同的做法。”截至目前，搜索“Claude Code Sandbox CVE”依然無法找到任何官方安全通告。

在應對憑證竊取問題時，Anthropic選擇封禁ps命令，但黑名單思路先天不足——封禁一個命令，攻擊者有無數(shù)替代路徑。正確做法是明確聲明Agent只需要哪些工具。而在“評論與控制”研究中，Anthropic雖將漏洞評級提升至CVSS 9.4（Critical級別）并轉入私有賞金計劃，發(fā)言人卻表示“該工具在設計上并未針對提示詞注入進行加固”。廠商默認信任模型自身的安全能力，卻在系統(tǒng)架構層面缺乏縱深防御；當漏洞暴露出這種缺失時，“設計局限”便成了一個方便的分類——它既承認了問題，又在某種程度上免除了發(fā)布安全通告的義務。

更廣泛的行業(yè)圖景是，同樣的問題不止于Anthropic一家。4月披露的“評論與控制”研究中，Google的Gemini CLI和微軟GitHub的Copilot Agent均被證實存在同一攻擊面，三家公司均確認并修復，但沒有一家發(fā)布安全通告或CVE編號。Anthropic支付100美元賞金，Google支付1337美元，GitHub最初以“已知問題，無法復現(xiàn)”關閉報告，在收到逆向工程證據(jù)后以“信息性”標簽結案，發(fā)放500美元。合計1937美元——而這三款產(chǎn)品覆蓋了《財富》百強中絕大多數(shù)企業(yè)。

虛假的安全感比沒有安全措施更具危害。沒有沙箱的用戶知道自己沒有邊界；擁有破損沙箱的用戶以為自己有。一個運行Claude Code并配置了域名白名單的團隊，在5.5個月里對風險毫不知情，升級后看到更新日志只會得出結論：沙箱一直在正常工作。此外，當漏洞被披露后，沒有安全通告意味著用戶無法判斷自己是否曾受到影響，也缺乏回溯審計的依據(jù)。

面對這一現(xiàn)狀，安全社區(qū)開始形成共識：不能將信任單點化地押注在廠商的沙箱實現(xiàn)上。Claude Code的SOCKS5代理構建在一個僅10個GitHub Star、最后提交停留在2024年6月的第三方npm包之上，安全邊界橫跨JavaScript和C兩種運行時，卻在信任交界處缺少最基本的規(guī)范化處理。修復補丁中添加的isValidHost()函數(shù)——負責拒絕空字節(jié)、百分號編碼、CRLF等非法字符——本應從沙箱上線第一天就存在。關傲男提出了一個務實的防御框架——將AI Agent視為需要遵循最小權限原則的超級員工，核心在于多層防御：

安全的聲譽建立在每一次披露和每一個補丁的透明度之上，而非品牌敘事。當用戶基于信任將憑證交給Agent處理時，廠商有義務確保防線有效，也有義務在失效時及時告知。這兩點，Anthropic在Claude Code沙箱上都未能做到。

“沙箱最壞的結果不是阻止了什么，而是給了人們一種虛假的安全感。發(fā)布一個有漏洞的沙箱，比不發(fā)布沙箱更糟糕。”——關傲男表示。

（本文首發(fā)鈦媒體APP，作者 | 硅谷Tech_news，編輯 | 焦燕）

參考資料：

1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration（Aonan Guan, 2026.05.20）

2. The Register — Even Claude agrees hole in its sandbox was real and dangerous（2026.05.20）