# Artikel Terkait Kesalahan Proxy

Bisa Mencuri Data Sembarangan! Alat Pemrograman AI Populer Ini Terungkap Punya Celah Besar

Alat pemrograman AI populer Claude Code dari Anthropic terbukti memiliki celah keamanan besar yang memungkinkan pencurian data sembarangan. Peneliti keamanan Aonan Guan mengungkapkan bahwa sandbox jaringan di Claude Code, yang diluncurkan sejak Oktober 2025, memiliki kerentanan bypass lengkap melalui serangan injeksi *null byte* dalam protokol SOCKS5. Kerentanan ini memungkinkan proses di dalam sandbox mengakses host mana pun yang sebenarnya dilarang oleh kebijakan pengguna. Celah ini terjadi karena perbedaan interpretasi string antara lapisan JavaScript (yang memeriksa izin) dan fungsi C (yang menangani koneksi). Dengan menyisipkan *null byte* (misal: `attacker.com\x00.google.com`), filter mengizinkan akses karena menganggap koneksi menuju Google, tetapi koneksi sebenarnya dialihkan ke server penyerang. Ketika dikombinasikan dengan teknik injeksi prompt (seperti yang dijelaskan dalam penelitian sebelumnya "Comment & Control"), celah ini dapat membentuk rantai serangan lengkap untuk mengekstrak kredensial API, token GitHub, atau data sensitif lainnya dari lingkungan pengguna dan mengirimkannya ke server eksternal. Yang mengkhawatirkan, Anthropic diketahui telah memperbaiki celah ini secara diam-diam pada pembaruan April tanpa pemberitahuan keamanan, CVE, atau informasi kepada pengguna. Tidak ada versi Claude Code yang aman dari risiko bypass sandbox selama 5,5 bulan sejak fitur sandbox diluncurkan. Peneliti menekankan bahwa rasa aman yang palsu dari sandbox yang cacat justru lebih berbahaya daripada tidak memiliki sandbox sama sekali.

marsbit10j yang lalu