Artículos Relacionados con Defecto del proxy

¡Pueden robar datos libremente! Esta popular herramienta de programación con IA expone graves fallos de seguridad

El popular asistente de programación con IA Claude Code de Anthropic ha tenido una grave vulnerabilidad de seguridad en su sandbox de red durante aproximadamente cinco meses y medio, desde su lanzamiento en octubre de 2025. Un investigador de seguridad independiente, Aonan Guan, descubrió un bypass completo que permitía a procesos dentro del sandbox acceder a hosts prohibidos por la política del usuario, explotando una inyección de byte nulo en el protocolo SOCKS5. Este ataque de "diferencia de interpretación" engañaba al proxy de filtrado para que permitiera conexiones a servidores maliciosos. Anthropic solucionó el problema silenciosamente en abril de 2026 sin emitir ningún aviso de seguridad, CVE o notificación a los usuarios, dejándolos potencialmente expuestos y sin saber que sus configuraciones de sandbox eran ineficaces. Combinado con una vulnerabilidad de inyección de prompts previamente descubierta, este bypass permitía la exfiltración de datos sensibles como claves API y credenciales. El propio Claude Code, al ejecutar el código de prueba, reconoció la gravedad de la vulnerabilidad. Este incidente subraya los riesgos de confiar en implementaciones de sandbox defectuosas y la importancia de la transparencia en la divulgación de fallos de seguridad por parte de los proveedores de herramientas de IA.

marsbitHace 11 hora(s)