Có thể đánh cắp dữ liệu tùy ý! Công cụ lập trình AI phổ biến này phơi bày lỗ hổng bảo mật nghiêm trọng
Anthropic, công ty tự định vị "ưu tiên bảo mật", đã để lộ lỗ hổng nghiêm trọng trong công cụ lập trình AI Claude Code của mình. Nhà nghiên cứu bảo mật Aonan Guan phát hiện một lỗ hổng bỏ qua hoàn toàn (bypass) hộp cát mạng (network sandbox) của công cụ này, tồn tại từ khi tính năng ra mắt vào tháng 10/2025 cho đến khi được sửa lặng lẽ vào tháng 4/2026 mà không có thông báo bảo mật nào cho người dùng.
Lỗ hổng kỹ thuật nằm ở proxy SOCKS5 dùng để lọc truy cập mạng dựa trên danh sách trắng tên miền do người dùng cấu hình. Kẻ tấn công có thể chèn byte null (ví dụ: `attacker.com\x00.google.com`) vào tên máy chủ. Lớp lọc JavaScript chấp nhận chuỗi này vì nó kết thúc bằng ".google.com", nhưng hàm phân giải DNS bằng ngôn ngữ C ở lớp dưới lại dừng xử lý tại byte null và chỉ phân giải "attacker.com". Sự khác biệt trong cách diễn giải này cho phép thiết bị trong hộp cát kết nối đến bất kỳ máy chủ nào trên Internet, vô hiệu hóa hoàn toàn cơ chế bảo vệ.
Khi kết hợp với kỹ thuật tiêm prompt (prompt injection) đã được chứng minh trước đó, lỗ hổng tạo thành một chuỗi tấn công hoàn chỉnh: lệnh độc hại ẩn trong tiêu đề Pull Request có thể điều khiển Claude Code chạy mã khai thác, sử dụng lỗ hổng byte null để gửi dữ liệu nhạy cảm (như khóa API, token, thông tin mạng nội bộ) ra bên ngoài. Đáng chú ý, chính Claude Code khi được yêu cầu chạy mã khai thác mẫu đã xác nhận đây là "một lần bỏ qua hộp cát thực sự".
Dù đã nhận báo cáo và sửa lỗi, Anthropic không công bố thông báo bảo mật chính thức, không cấp số CVE và không cảnh báo người dùng đang chạy phiên bản cũ. Cách xử lý này, cùng với việc để lộ hai lỗi bypass liên tiếp trong cùng một cơ chế phòng thủ, đặt ra câu hỏi về tính minh bạch và chất lượng triển khai bảo mật. Sự cố cảnh báo rằng việc tin tưởng mù quán vào các hộp cát của nhà cung cấp là nguy hiểm, và cảm giác an toàn giả tạo từ một lớp phòng thủ bị hỏng còn tệ hơn là không có biện pháp bảo vệ nào.
marsbit1 giờ trước
