能随意窃取数据!这款热门 AI 编程工具曝重大隐患

marsbit发布于2026-05-24更新于2026-05-24

文章摘要

Anthropic公司推出的AI编程助手Claude Code,其核心安全功能——网络沙箱被曝存在重大安全漏洞。独立安全研究员关傲男发现,该沙箱的SOCKS5代理存在“空字节注入”漏洞,攻击者可通过构造特殊主机名(如`attacker-host.com\x00.google.com`),使其绕过域名白名单限制,访问任意外部主机。此漏洞自2025年10月网络沙箱上线以来一直存在,持续约5.5个月,影响了所有130个版本。 该漏洞属于“解析器差异”攻击,即上层JavaScript过滤器与底层C语言解析器对同一字符串的解释不同,导致安全检查被绕过。当结合此前披露的“评论与控制”提示词注入攻击时,可构成完整攻击链,窃取环境变量中的API密钥、内部凭证等敏感数据并外传。 值得注意的是,研究员将漏洞复现代码交给Claude Code自身运行后,其也承认这是一个真实的沙箱绕过漏洞。然而,Anthropic在4月初收到报告并静默修复后,未发布任何安全通告、CVE编号或用户通知,其处理方式引发了对安全透明度的质疑。此前,该沙箱已在2025年11月被同一研究员发现并报告过另一个完整绕过漏洞。 此次事件暴露了AI编程工具在纵深防御设计上的不足。安全社区建议,用户不应完全信任厂商的沙箱实现,而应将AI助手视为需遵循最小权限原则的“超级员工”,实施多层防御策略。

以“安全优先”定位的Anthropic,其核心开发工具Claude Code的网络沙箱在过去五个月里从未真正安全过。

独立安全研究员关傲男(Aonan Guan)5月20日发布最新研究,披露Claude Code网络沙箱存在第二个完整绕过漏洞——一个SOCKS5协议中的空字节注入攻击,可以让沙箱内的进程访问用户策略明确禁止的任意主机。这意味着从2025年10月沙箱功能上线至今,约5.5个月、130个发布版本,Claude Code的每一个版本都存在可被完整绕过的安全缺陷。这已是同一研究员对同一道防线的第二次完整突破。

Anthropic对此的回应是沉默:没有安全通告,没有CVE编号,没有用户通知。漏洞在4月1日的版本中静默修复,更新日志未提及任何安全相关内容。也就是说,一位仍在运行旧版本的用户,完全无从知晓自己配置的沙箱从一开始就形同虚设。

同一道门的两次钥匙

Claude Code是Anthropic于2025年初推出的AI编程助手,定位是“驻留在终端中的AI工程师”。与传统的聊天式代码补全不同,Claude Code拥有对用户代码库的读写权限和命令执行能力,能够自主完成导航代码、编辑文件、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——如果模型被提示词注入攻击劫持,攻击者将获得等同用户终端权限的能力,包括读取本地环境变量、执行任意系统命令、访问内部网络资源等。

为了平衡安全与效率,Anthropic在2025年10月引入了网络沙箱功能(v2.0.24),允许用户通过配置文件设定域名白名单,限制AI执行环境的外部网络访问。例如配置 allowedDomains: [“*.google.com”] 后,Claude Code只能访问Google及其子域名,其余流量一律阻断。官方文档明确承诺:“空数组等于禁止所有网络访问。”

这一机制由一个SOCKS5代理实现:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理服务器,沙箱内的进程不直接发起网络连接,而是通过代理转发,代理根据用户在 settings.json 中配置的白名单执行域名过滤。操作系统层面的沙箱机制——macOS的sandbox-exec、Linux的bubblewrap——正确地将Agent限制在本地回环地址,出站决策则完全委托给这个SOCKS5代理。

Anthropic官方博客展示的Claude Code沙箱架构图——用户命令经由SOCKS/HTTP代理过滤后到达沙箱,沙箱内的文件操作与网络访问受严格权限管控

问题就出在这个代理的实现上。两次独立的安全研究均证明,它可以被完整绕过。

时间线暴露出更深层的问题:2025年11月26日发布的v2.0.55修复了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版本仍然携带。两个漏洞在时间线上存在交叉,从沙箱功能上线的第一天到最后一个漏洞被修复,没有任何版本是安全的。Anthropic在官方博客中宣称沙箱“确保即使发生提示词注入,影响也被完全隔离”,但这两次绕过的存在直接推翻了这一承诺。

“一次外部报告是运气。两次是实施质量问题。”——关傲男研究报告表示。

一个空字节的完整绕过

第二次绕过的技术原理并不复杂,但攻击链条的完整性值得关注。

用户配置了网络白名单,例如只允许访问 *.google.com。Claude Code的SOCKS5代理在收到连接请求时,用JavaScript的 endsWith() 方法对主机名做后缀匹配。攻击者只需在主机名中插入一个空字节——构造形如attacker-host.com\x00.google.com 的字符串。JavaScript将空字节视为普通UTF-16字符,endsWith(“.google.com”) 返回 true,代理放行。但同一字符串被传递到底层C语言函数 getaddrinfo() 进行DNS解析时,空字节被视为字符串终止符,实际解析的是 attacker-host.com同样的字节,两层代码给出了两种解读。过滤器认为你在访问Google,DNS解析器知道你在连接攻击者的服务器。

这属于经典的“解析器差异”攻击,与2005年发现的HTTP请求走私属同一技术类别(CWE-158 / CWE-436)。其本质是当同一条数据流经两个具有不同语义解释规则的组件时,攻击者可以利用这种差异,让一层组件做出“安全”的判断,同时让另一层组件执行“危险”的操作。此类漏洞在网络安全领域反复出现,关键教训始终相同:任何跨越信任边界的字符串传递,都必须经过严格的规范化与验证,而非信任上层已经做过检查。

关傲男使用两个最小化的Node.js脚本完成了漏洞复现:控制脚本使用普通主机名发起SOCKS5连接,返回BLOCKED;攻击脚本在主机名中注入空字节,返回 BYPASSED rep=0x00——后者意味着代理已成功建立连接,出站通道被打开。Claude Code自身确认了这一结果。

Claude Code v2.1.86中四个红色标注步骤的完整漏洞复现——策略确认、普通拦截、空字节绕过、Claude自身确认

而这一沙箱绕过与关傲男4月披露的“评论与控制”提示词注入攻击串联后,构成了完整的攻击链(参见:三层防御仍然不够,一条PR标题就能偷走你的API密钥:AI Agent安全裂痕再现)。“评论与控制”研究已证明,三家AI编程工具均存在提示词注入攻击面,但攻击入口各不相同:Claude Code仅通过PR标题,Gemini CLI通过Issue评论或正文,Copilot Agent则利用HTML注释实现隐蔽注入。以Claude Code为例,其PR标题会被直接拼接至提示词模板,未经过滤或转义,模型无法区分人类意图与恶意注入。

将两者组合——隐藏指令让Agent在沙箱内运行攻击代码,空字节注入突破网络封锁——环境变量中的API密钥、AWS凭证、GitHub令牌、内部API端点数据等,均可被外传至互联网上的任意服务器。数据通过SOCKS5代理本身流出,攻击全程无需外部服务器中转,而该代理恰恰是用户信任为安全边界的组件。攻击者甚至不需要仓库写入权限,只需提交一个公开Issue即可。人类审查者在GitHub渲染视图中看到的是正常协作请求,AI Agent解析的却是完整恶意源码。

连Claude都承认:漏洞是真实的

此次披露中的一个关键细节来自Claude Code自身。关傲男直接将漏洞复现代码交给Claude Code运行,要求其做出技术判断。Claude Code在执行了控制测试(普通主机名被拦截)和攻击测试(空字节主机名绕过拦截)后,给出了明确结论:

“This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”(“这是对网络沙箱过滤器的真实绕过,不是测试假象。你应该向Anthropic报告这个问题。”)

被测试的产品自己确认了漏洞的真实性和严重性,甚至主动给出了上报路径。这个细节被关傲男完整记录在研究报告中,并成为The Register报道标题的来源——“Even Claude agrees hole in its sandbox was real and dangerous”(连Claude都认同,其沙箱中的漏洞是真实且危险的)。

关傲男研究封面——Claude Code被展示自身漏洞后承认“这是对网络沙箱过滤器的真实绕过”,红色框标注关键确认语句

Anthropic的回应与五个月的沉默

漏洞本身令人担忧,但Anthropic的处理方式更值得行业审视。

关傲男于2026年4月初通过HackerOne漏洞赏金计划(报告编号#3646509)向Anthropic提交了第二次沙箱绕过的详细报告。Anthropic的初步回应是:

“Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking.”(“感谢您的报告。经审核,我们认定该提交与我们已在追踪的既有内部报告重复。”)

报告随即被关闭。当关傲男追问CVE编号计划时,Anthropic于4月7日回复:

“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”(“我们尚未决定是否为该问题发布CVE编号,也无法提供相关决定的时间表。”)

此后漏洞在v2.1.90版本中静默修复。没有安全通告,没有CVE编号,Claude Code安全建议页面无任何条目,更新日志未提及任何安全相关描述。一个从沙箱上线第一天就存在、持续5.5个月、覆盖约130个版本的完整绕过,对用户而言仿佛从未发生过。

这一处理模式并非首次出现。第一次绕过(CVE-2025-66479)的应对方式几乎如出一辙:Anthropic将CVE仅分配给底层库 @anthropic-ai/sandbox-runtime(CVSS评分仅1.8,“Low”),而非面向用户的产品Claude Code;更新日志中写的是“Fixed proxy DNS resolution”(修复了代理DNS解析),未提及安全漏洞。关傲男在研究报告中对此写道:“当React Server Components出现严重漏洞时,React和Next.js各自获得了独立的CVE,Meta和Vercel都发布了安全通告,两个社区都得到了充分告知。Anthropic选择了不同的做法。”截至目前,搜索“Claude Code Sandbox CVE”依然无法找到任何官方安全通告。

在应对凭证窃取问题时,Anthropic选择封禁ps命令,但黑名单思路先天不足——封禁一个命令,攻击者有无数替代路径。正确做法是明确声明Agent只需要哪些工具。而在“评论与控制”研究中,Anthropic虽将漏洞评级提升至CVSS 9.4(Critical级别)并转入私有赏金计划,发言人却表示“该工具在设计上并未针对提示词注入进行加固”。厂商默认信任模型自身的安全能力,却在系统架构层面缺乏纵深防御;当漏洞暴露出这种缺失时,“设计局限”便成了一个方便的分类——它既承认了问题,又在某种程度上免除了发布安全通告的义务。

更广泛的行业图景是,同样的问题不止于Anthropic一家。4月披露的“评论与控制”研究中,Google的Gemini CLI和微软GitHub的Copilot Agent均被证实存在同一攻击面,三家公司均确认并修复,但没有一家发布安全通告或CVE编号。Anthropic支付100美元赏金,Google支付1337美元,GitHub最初以“已知问题,无法复现”关闭报告,在收到逆向工程证据后以“信息性”标签结案,发放500美元。合计1937美元——而这三款产品覆盖了《财富》百强中绝大多数企业。

虚假的安全感比没有安全措施更具危害。没有沙箱的用户知道自己没有边界;拥有破损沙箱的用户以为自己有。一个运行Claude Code并配置了域名白名单的团队,在5.5个月里对风险毫不知情,升级后看到更新日志只会得出结论:沙箱一直在正常工作。此外,当漏洞被披露后,没有安全通告意味着用户无法判断自己是否曾受到影响,也缺乏回溯审计的依据。

面对这一现状,安全社区开始形成共识:不能将信任单点化地押注在厂商的沙箱实现上。Claude Code的SOCKS5代理构建在一个仅10个GitHub Star、最后提交停留在2024年6月的第三方npm包之上,安全边界横跨JavaScript和C两种运行时,却在信任交界处缺少最基本的规范化处理。修复补丁中添加的isValidHost()函数——负责拒绝空字节、百分号编码、CRLF等非法字符——本应从沙箱上线第一天就存在。关傲男提出了一个务实的防御框架——将AI Agent视为需要遵循最小权限原则的超级员工,核心在于多层防御:

安全的声誉建立在每一次披露和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给Agent处理时,厂商有义务确保防线有效,也有义务在失效时及时告知。这两点,Anthropic在Claude Code沙箱上都未能做到。

“沙箱最坏的结果不是阻止了什么,而是给了人们一种虚假的安全感。发布一个有漏洞的沙箱,比不发布沙箱更糟糕。”——关傲男表示。

(本文首发钛媒体APP,作者 | 硅谷Tech_news,编辑 | 焦燕)

参考资料:

1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)

2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)

热门币种推荐

你可能也喜欢

Chainlink Labs高管称《CLARITY法案》可能为机构入场加密货币解锁

Chainlink Labs高管Andrew McCormick认为《CLARITY法案》可能成为机构加密货币的关键解锁点,更清晰的规则有助于打破合规僵局,该僵局使得大型金融机构对数字资产持谨慎态度。 机构采用的核心障碍已非兴趣问题,而是法律与合规团队能否批准实际配置、代币化项目及链上市场基础设施。该法案旨在明确数字资产在美国市场结构规则下的处理方式,厘清SEC与CFTC的监管边界。 对于Chainlink而言,监管清晰度至关重要。其定位为代币化资产、跨链结算、数据预言机和机构区块链采用的基础设施。若监管不确定性降低,将更有利于其市场推广。 当前,合规是机构采用的主要瓶颈。金融机构即使看到需求与机会,也常因法律待遇不明确而被合规部门阻止。清晰的规则(即使严格)比模糊的监管环境更有助于机构参与。 法案的关键在于界定SEC与CFTC的监管范围,明确数字资产应被归类为证券还是商品。这将帮助交易所、托管方、资产管理公司等明确合规路径,减少对潜在执法行动的担忧。 需注意的是,该法案尚未成为法律,具体细节及执行仍存变数。但为机构提供一个负责任参与的监管框架,确实是推动代币化金融基础设施(如Chainlink所提供)更广泛采用的重要一步。

bitcoinist44分钟前

Chainlink Labs高管称《CLARITY法案》可能为机构入场加密货币解锁

bitcoinist44分钟前

卡尔达诺进入盘整,ADA交易员重拾图形观察

卡尔达诺(Cardano)再次进入盘整阶段,ADA交易者正关注当前走势能否形成更强的技术性反转信号。代币价格在支撑位附近徘徊,而整体市场走势仍不稳定,这使图表结构再次成为焦点。若买家能守住当前区间并积累动能,可能形成头肩底形态。 技术形态并非保证,其意义在于反映交易者的关注点及情绪可能转变的时机。对卡尔达诺而言,图表形态出现之际,项目虽拥有坚定的社区支持,但仍缺乏明确的市场催化剂,这使得下一步走势尤为关键。 简单来说:ADA需守住支撑位,任何看涨形态才具说服力;更广泛的挑战在于如何将卡尔达诺的发展与社区优势转化为新的市场需求。头肩底形态暗示压力减轻和积累的可能,但需价格确认——即ADA必须守住支撑、突破颈线并伴随放量,否则形态仅停留在可能阶段。 卡尔达诺的长期叙事仍侧重于实际交付。项目长期强调研究、形式化方法、治理和去中心化,支持者视之为持久优势,批评者则认为其生态捕获市场动能较慢。这两种观点均影响ADA价格走势。当交易者信心充足时,坚定的社区成为优势;当市场缺乏耐心时,缓慢的开发叙事则形成拖累。因此,支撑位测试对ADA至关重要,它能检验持有者是否愿意继续等待。 当前盘整为交易者提供了明确的观察区间。若ADA守住支撑并开始形成更高的低点,市场或视该区间为底部;若成交量改善,反转形态将更可信;若价格失守,交易者可能放弃该形态并等待更低位置。技术关注本身可能形成自我强化:若形态确认,更多买家可能入场;若失败,失望情绪可能加剧抛压。因此对ADA而言,形态本身更关乎市场行为,而非预测。 更广泛的山寨币背景同样重要。若比特币和以太坊持续承压,即使卡尔达诺自身图表呈现建设性形态,也可能难以走强;若市场企稳,ADA更有可能将盘整转化为复苏尝试。 卡尔达诺需要超越基础的技术确认与真实的生态系统催化剂相结合,例如开发进展、治理活动、新应用、更强的DeFi指标、机构关注或山寨币风险偏好的整体回归。否则,ADA可能仍仅依赖于交易者对相同支撑阻力位的观察。 目前卡尔达诺处于熟悉的位置:项目仍拥有忠诚基础,路线图持续推进,市场正关注ADA重拾势头的迹象。技术形态为交易者提供了关注的理由,下一步需等待确认。若ADA能守住支撑并带量突破,市场讨论可能迅速转向;否则,卡尔达诺可能继续被视为等待短期火花点燃的长期故事。

bitcoinist58分钟前

卡尔达诺进入盘整,ADA交易员重拾图形观察

bitcoinist58分钟前

《天才法案》错过首个重要规则制定截止日期,后续如何?

美国稳定币框架《GENIUS法案》于2027年7月18日成为法律,并设定了分阶段实施的多个里程碑。根据规定,包括美联储和货币监理署在内的监管机构需在法案通过后第一年(即2027年7月18日)前完成相关规则的制定。然而,首个主要规则制定期限已过,关键规则仍未最终确定。 目前,六家监管机构共发布了10项规则制定提案,但无一正式完成。其中仅六项提案结束了评议期,其余四项(包括针对FDIC监管的稳定币发行人的《银行保密法》和制裁合规提案)仍在公开征求意见中。美联储主席凯文·沃什近期在国会听证会上表示,最终规则可能即将发布。 银行业因担心稳定币收益漏洞而对法案表示反对,呼吁审查提案以避免不公平竞争、监管套利或政策意外后果。《GENIUS法案》是美国首个正式的稳定币监管框架,旨在推动创新并保护消费者,包含准备金要求和反洗钱条款。 自法案通过以来,稳定币市场总供应量已从2500亿美元增长至超过3000亿美元。富达等公司已开始提供稳定币服务,Phantom等加密平台的稳定币余额也增长了约20%。支持该法案的参议员比尔·哈格蒂称其为“分水岭时刻”。随着法案进入第二年,最终规则的发布将如何进一步影响市场增长,仍有待观察。

ambcrypto1小时前

《天才法案》错过首个重要规则制定截止日期,后续如何?

ambcrypto1小时前

交易

现货

热门文章

从H2A到A2A:AI Agent经济体与Crypto新机遇

6月17日,哈佛大学独立研究员、美国AI科学院(NAAI)通讯院士、比特币基金会终身会员韩锋做客火币HTX《大咖讲堂》第三期,以《从H2A到A2A》为主题,分享了其对Agent经济、Crypto基础设施及数字社会未来发展的思考。

304人学过发布于 2026.07.01更新于 2026.07.01

从H2A到A2A:AI Agent经济体与Crypto新机遇

美股TradFi:传统金融在AI IPO浪潮下的稳健锚点

2026年,美股IPO市场重回高热度。本文梳理即将上线或受关注的热门赛道龙头,分析具备投资潜力的交易标的及其逻辑,并探讨宏观趋势与相关风险。

1.9k人学过发布于 2026.07.08更新于 2026.07.08

美股TradFi:传统金融在AI IPO浪潮下的稳健锚点

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对AI(AI)币价的意见。

活动图片