2026世界杯实时比分 能松驰窃取数据！这款热点 AI 编程器具曝紧要隐患

以“安全优先”定位的Anthropic，其中枢开发器具Claude Code的收集沙箱在曩昔五个月里从未确凿安全过。

寂寞安全商讨员关傲男（Aonan Guan）5月20日发布最新商讨，裸露Claude Code收集沙箱存在第二个完满绕过疏忽——一个SOCKS5公约中的空字节注入报复，不错让沙箱内的程度探望用户政策明确不容的落拓主机。这意味着从2025年10月沙箱功能上线于今，约5.5个月、130个发布版块，Claude Code的每一个版块齐存在可被完满绕过的安全颓势。这已是归并商讨员对归并齐防地的第二次完满碎裂。

Anthropic对此的薪金是千里默：莫得安全晓喻，莫得CVE编号，莫得用户讲演。疏忽在4月1日的版块中静默征战，更新日记未说起任何安全相干内容。也即是说，一位仍在运行旧版块的用户，充足无从涌现我方竖立的沙箱从一开动就形同虚设。

归并齐门的两次钥匙

Claude Code是Anthropic于2025年头推出的AI编程助手，定位是“驻留在终局中的AI工程师”。与传统的聊天式代码补全不同，Claude Code领有对用户代码库的读写权限和号令践诺技艺，大约自主完成导航代码、裁剪文献、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——若是模子被辅导词注入报复劫抓，报复者将得到等同用户终局权限的技艺，包括读取土产货环境变量、践诺落拓系统号令、探望里面收集资源等。

为了均衡安全与成果，Anthropic在2025年10月引入了收集沙箱功能（v2.0.24），允许用户通过竖立文献设定域名白名单，限制AI践诺环境的外部收集探望。举例竖立 allowedDomains: [“*.google.com”] 后，Claude Code只可探望Google过头子域名，其余流量一律阻断。官方文档明确得意：“空数组等于不容系数收集探望。”

这一机制由一个SOCKS5代理罢了：底层沙箱运行时（@anthropic-ai/sandbox-runtime）启动代理奇迹器，沙箱内的程度不成功发起收集联贯，而是通过代理转发，代理根据用户在 settings.json 中竖立的白名单践诺域名过滤。操作系统层面的沙箱机制——macOS的sandbox-exec、Linux的bubblewrap——正确地将Agent限制在土产货回文地址，出站有贪图则充足奉求给这个SOCKS5代理。

Anthropic官方博客展示的Claude Code沙箱架构图——用户号令进程SOCKS/HTTP代理过滤后到达沙箱，沙箱内的文献操作与收集探望受严格权限管控

问题就出在这个代理的罢了上。两次寂寞的安全商讨均阐明，它不错被完满绕过。

时刻线暴裸露更深层的问题：2025年11月26日发布的v2.0.55征战了第一次绕过，但第二次绕过从沙箱上线的第一天起就已存在，该版块仍然佩戴。两个疏忽在时刻线上存在交叉，从沙箱功能上线的第一天到临了一个疏忽被征战，莫得任何版块是安全的。Anthropic在官方博客中声称沙箱“确保即使发生辅导词注入，影响也被充足阻碍”，但这两次绕过的存在成功推翻了这一得意。

“一次外部阐明是运说念。两次是实施质地问题。”——关傲男商讨阐昭示意。

一个空字节的完满绕过

第二次绕过的期间旨趣并不复杂，但报复链条的完满性值得存眷。

用户竖立了收集白名单，举例只允许探望 *.google.com。Claude Code的SOCKS5代理在收到联贯央求时，用JavaScript的 endsWith() 方法对主机名作念后缀匹配。报复者只需在主机名中插入一个空字节——构造形如attacker-host.com\\x00.google.com 的字符串。JavaScript将空字节视为普通UTF-16字符，endsWith(“.google.com”) 复返 true，代理放行。但归并字符串被传递到底层C话语函数 getaddrinfo() 进行DNS分解时，空字节被视为字符串断绝符，履行分解的是 attacker-host.com。不异的字节，两层代码给出了两种解读。过滤器合计你在探望Google，DNS分解器知说念你在联贯报复者的奇迹器。

这属于经典的“分解器互异”报复，与2005年发现的HTTP央求私运属归并期间类别（CWE-158 / CWE-436）。其履行是当归并条数据流经两个具有不同语义解释端正的组件时，6686体育官方网站入口报复者不错诓骗这种互异，让一层组件作念出“安全”的判断，同期让另一层组件践诺“危急”的操作。此类疏忽在收集安全规模反复出现，谬误训戒永远研究：任何逾越信任鸿沟的字符串传递，齐必须经过严格的行动化与考据，而非信任表层依然作念过查验。

关傲男使用两个最小化的Node.js剧本完成了疏忽复现：适度剧本使用普通主机名发起SOCKS5联贯，复返BLOCKED；报复剧本在主机名中注入空字节，复返 BYPASSED rep=0x00——后者意味着代理已收效建立联贯，出站通说念被掀开。Claude Code自身阐述了这一终结。

Claude Code v2.1.86中四个红色标注关节的完满疏忽复现——政策阐述、普通阻碍、空字节绕过、Claude自身阐述

而这一沙箱绕过与关傲男4月裸露的“辩论与适度”辅导词注入报复串联后，组成了完满的报复链（参见：三层翔实仍然不够，一条PR标题就能偷走你的API密钥：AI Agent安全裂痕再现）。“辩论与适度”商讨已阐明，三家AI编程器具均存在辅导词注入报复面，但报复进口各不研究：Claude Code仅通过PR标题，Gemini CLI通过Issue辩论或正文，Copilot Agent则诓骗HTML注释罢了保密注入。以Claude Code为例，其PR标题会被成功拼接至辅导词模板，未经过滤或转义，模子无法区别东说念主类意图与坏心注入。

将两者组合——保密指示让Agent在沙箱内运行报复代码，空字节注入碎裂收集阻塞——环境变量中的API密钥、AWS凭证、GitHub令牌、里面API端点数据等，2026世界杯亚盘均可被听说至互联网上的落拓奇迹器。数据通过SOCKS5代理自己流出，报复全程无需外部奇迹器中转，而该代理恰正是用户信任为安全鸿沟的组件。报复者以致不需要仓库写入权限，只需提交一个公开Issue即可。东说念主类审查者在GitHub渲染视图中看到的是正常合营央求，AI Agent分解的却是完满坏心源码。

连Claude齐承认：疏忽是确凿的

这次裸露中的一个谬误细节来自Claude Code自身。关傲男成功将疏忽复当代码交给Claude Code运行，要求其作念出期间判断。Claude Code在践诺了适度测试（普通主机名被阻碍）和报复测试（空字节主机名绕过阻碍）后，给出了明确论断：

“This is a real bypass of the network sandbox filter， not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”（“这是对收集沙箱过滤器真的凿绕过，不是测试假象。你应该向Anthropic阐明这个问题。”）

被测试的居品我方阐述了疏忽真的凿性和严重性，以致主动给出了上报旅途。这个细节被关傲男完满纪录在商讨阐明中，并成为The Register报说念标题的开头——“Even Claude agrees hole in its sandbox was real and dangerous”（连Claude齐认可，其沙箱中的疏忽是确凿且危急的）。

关傲男商讨封面——Claude Code被展示自身疏忽后承认“这是对收集沙箱过滤器真的凿绕过”，红色框标注谬误阐述语句

Anthropic的薪金与五个月的千里默

疏忽自己令东说念主担忧，但Anthropic的惩处阵势更值得行业扫视。

关傲男于2026年4月初通过HackerOne疏忽赏金谋略（阐明编号#3646509）向Anthropic提交了第二次沙箱绕过的详备阐明。Anthropic的初步薪金是：

“Thank you for your report. After reviewing this submission， we've determined it's a duplicate of an existing internal report we're already tracking.”（“感谢您的阐明。经审核，咱们认定该提交与咱们已在跟踪的既有里面阐明叠加。”）

阐明赶快被关闭。当关傲男追问CVE编号谋略时，Anthropic于4月7日回复：

“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”（“咱们尚未决定是否为该问题发布CVE编号，也无法提供相干决定的时刻表。”）

尔后疏忽在v2.1.90版块中静默征战。莫得安全晓喻，莫得CVE编号，Claude Code安全建议页面无任何要求，更新日记未说起任何安全相干样貌。一个从沙箱上线第一天就存在、抓续5.5个月、心事约130个版块的完满绕过，对用户而言仿佛从未发生过。

这一惩处模式并非初度出现。第一次绕过（CVE-2025-66479）的马虎阵势险些如出一辙：Anthropic将CVE仅分拨给底层库 @anthropic-ai/sandbox-runtime（CVSS评分仅1.8，“Low”），而非面向用户的居品Claude Code；更新日记中写的是“Fixed proxy DNS resolution”（征战了代理DNS分解），未说起安全疏忽。关傲男在商讨阐明中对此写说念：“当React Server Components出现严重疏忽时，React和Next.js各自得到了寂寞的CVE，Meta和Vercel齐发布了安全晓喻，两个社区齐得到了充分示知。Anthropic聘用了不同的作念法。”限制当今，搜索“Claude Code Sandbox CVE”依然无法找到任何官方安全晓喻。

在马虎凭证窃取问题时，Anthropic聘用封禁ps号令，但黑名单想路先天不及——封禁一个号令，报复者有无数替代旅途。正确作念法是明确声明Agent只需要哪些器具。而在“辩论与适度”商讨中，Anthropic虽将疏忽评级擢升至CVSS 9.4（Critical级别）并转入出奇赏金谋略，发言东说念主却示意“该器具在瞎想上并未针对辅导词注入进行加固”。厂商默许信任模子自身的安全技艺，却在系统架构层面繁难纵深翔实；当疏忽暴裸露这种缺失机，“瞎想局限”便成了一个浅陋的分类——它既承认了问题，又在某种程度上免除了发布安全晓喻的义务。

更浅近的行业图景是，不异的问题不啻于Anthropic一家。4月裸露的“辩论与适度”商讨中，Google的Gemini CLI和微软GitHub的Copilot Agent均被证实存在归并报复面，三家公司均阐述并征战，但莫得一家发布安全晓喻或CVE编号。Anthropic支付100好意思元赏金，Google支付1337好意思元，GitHub领先以“已知问题，无法复现”关闭阐明，在收到逆向工程左证后以“信息性”标签了案，披发500好意思元。总共1937好意思元——而这三款居品心事了《钞票》百强中绝大深广企业。

子虚的安全感比莫得安全措施更具危害。莫得沙箱的用户知说念我方莫得鸿沟；领有碎裂沙箱的用户以为我方有。一个运行Claude Code并竖立了域名白名单的团队，在5.5个月里对风险绝不知情，升级后看到更新日记只会得出论断：沙箱一直在正常使命。此外，当疏忽被裸露后，莫得安全晓喻意味着用户无法判断我方是否曾受到影响，也繁难回溯审计的依据。

濒临这一近况，安全社区开动造成共鸣：弗成将信任单点化地押注在厂商的沙箱罢了上。Claude Code的SOCKS5代理构建在一个仅10个GitHub Star、临了提交停留在2024年6月的第三方npm包之上，安全鸿沟横跨JavaScript和C两种运行时，却在信任接壤处繁难最基本的行动化惩处。征战补丁中添加的isValidHost()函数——庄重拒却空字节、百分号编码、CRLF等犯警字符——本应从沙箱上线第一天就存在。关傲男建议了一个求实的翔实框架——将AI Agent视为需要除名最小权限原则的超等职工，中枢在于多层翔实：

安全的声誉建立在每一次裸露和每一个补丁的透明度之上，而非品牌叙事。当用户基于信任将凭证交给Agent惩处时，厂商有义务确保防地灵验，也有义务在失效时实时示知。这两点，Anthropic在Claude Code沙箱上齐未能作念到。

“沙箱最坏的终结不是扼制了什么，而是给了东说念主们一种子虚的安全感。发布一个有疏忽的沙箱，比不发布沙箱更厄运。”——关傲男示意。

（本文首发钛媒体APP，作家 | 硅谷Tech_news，裁剪 | 焦燕）

参考辛苦：

1. oddguan.com — Second Time， Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration（Aonan Guan， 2026.05.20）

2. The Register — Even Claude agrees hole in its sandbox was real and dangerous（2026.05.20）