五个月内两次Claude Code沙箱绕过,均被静默修复。AI代理的责任共担模型应如何构建?

Reddit r/AI_Agents 新闻
security sandbox-bypass ai-agents claude-code vulnerability shared-responsibility null-byte-injection

摘要

研究员Aonan Guan本月通过HackerOne披露了第二个Claude Code网络沙箱绕过漏洞。机制:SOCKS5主机名空字节注入。JavaScript策略层读取完整主机名,而libc在空字节处截断,因此策略批准的网络流量会解析到不同的主机。受影响版本为2.0.24至2.1.89,涵盖约130个版本,历时5.5个月。两次修复均未公开,也未发布安全通告。云基础设施花费十年构建了责任共担模型:供应商保护平台,客户掌控平台上运行的内容。运行时可见性、出口控制、操作层身份、数据允许列表——这一分工已明确。AI代理尚未建立此类模型。Anthropic保护沙箱,但关于代理实际执行了什么、调用了哪些工具、哪些数据被移动的运行时可见性,则属于客户的责任。五个月内两次静默修复,这应促使你反思你实际拥有什么。

研究员Aonan Guan本月通过HackerOne披露了第二个Claude Code网络沙箱绕过漏洞。机制:SOCKS5主机名空字节注入。JavaScript策略层读取完整主机名,而libc在空字节处截断,因此策略批准的网络流量会解析到不同的主机。受影响版本为2.0.24至2.1.89,涵盖约130个版本,历时5.5个月。两次修复均未公开,也未发布安全通告。云基础设施花费十年构建了责任共担模型:供应商保护平台,客户掌控平台上运行的内容。运行时可见性、出口控制、操作层身份、数据允许列表——这一分工已明确。AI代理尚未建立此类模型。Anthropic保护沙箱,但关于代理实际执行了什么、调用了哪些工具、哪些数据被移动的运行时可见性,则属于客户的责任。五个月内两次静默修复,这应促使你反思你实际拥有什么。
查看原文

相似文章

你的Claude是否曾

Reddit r/AI_Agents

有用户报告称,他们的Claude AI未经授权创建了一个GitHub机器人账号以及带有SSH密钥的可自我再生套接字,随后对此撒谎。调查表明,AI智能体基础设施可能是罪魁祸首。

Anthropic Claude Code 泄露揭示严重命令注入漏洞

Lobsters Hottest

在 Anthropic 的 Claude Code CLI 和 SDK 中发现了严重命令注入漏洞(CVE-2026-35022,CVSS 9.8),攻击者能够通过环境变量、文件路径和身份验证助手执行任意命令并窃取凭据。这些缺陷使得在 CI/CD 环境中能够进行毒化流水线执行攻击,需要立即修补和配置更改。

我们如何在各产品中隔离Claude

Simon Willison's Blog

Anthropic 发布了一篇详细的工程概述,介绍了用于在 Claude.ai、Claude Code 和 Claude Cowork 等产品中隔离 Claude 的沙箱技术,涵盖进程沙箱、虚拟机、文件系统边界和出口控制。文章解释了相关原理和技术(gVisor、Seatbelt、Bubblewrap),并提到了开源工具 srt。