Claude Code 网络沙箱存在完整绕过漏洞，数据可被随意窃取

事件概述

安全研究员关傲男（Aonan Guan）于2026年5月20日发布研究，披露 Anthropic 旗下的 AI 编程工具 Claude Code 的网络沙箱存在第二个完整绕过漏洞。该漏洞利用 SOCKS5 协议中的空字节注入攻击，使沙箱内的进程可以访问用户策略禁止的任意主机。从2025年10月沙箱功能上线（v2.0.24）到修复版本（v2.1.90），历时约5.5个月、跨越约130个版本，所有版本均可被绕过。Anthropic 对此事的回应为沉默：未发布安全通告、未分配 CVE 编号、未通知用户，仅在4月1日的版本中静默修复，更新日志未提及安全相关内容。

核心信息

• 技术原理：漏洞属于经典“解析器差异”攻击。用户配置域名白名单后，Claude Code 的 SOCKS5 代理使用 JavaScript 的 endsWith() 方法做后缀匹配。攻击者在主机名中插入空字节（如 attacker-host.com\x00.google.com），JavaScript 将空字节视为正常字符，匹配成功并放行；但底层 C 函数 getaddrinfo() 将空字节视为字符串终止符，实际解析为攻击者的主机名。过滤器与 DNS 解析器对同一字符串解读不一致，导致绕过。
• 攻击链：该沙箱绕过可与之前披露的“评论与控制”提示词注入攻击串联。攻击者通过 GitHub Issue 或 PR 标题注入恶意指令，AI Agent 执行攻击代码，利用空字节注入突破网络沙箱限制，将环境变量中的 API 密钥、AWS 凭证、GitHub 令牌等数据外传至任意服务器。
• Claude 自身确认：关傲男将漏洞复现代码交给 Claude Code 运行，Claude Code 执行后明确承认“这是对网络沙箱过滤器的真实绕过”，并主动给出上报路径。

值得关注

• 厂商回应：Anthropic 在 HackerOne 上以“重复内部报告”为由关闭提交，未承诺发布 CVE。此前第一次绕过（CVE-2025-66479）的应对方式类似：CVE 仅分配给底层库，更新日志未提安全漏洞。
• 行业背景：Google Gemini CLI 和 GitHub Copilot Agent 也被证实存在类似攻击面，均未发布安全通告或 CVE。三家公司合计支付赏金仅1937美元。
• 虚假安全感：研究员指出“发布一个有漏洞的沙箱比不发布更糟糕”。用户配置了域名白名单后以为有边界保护，实际形同虚设，且无安全通告导致用户无法回溯审计。
• 防御建议：AI Agent 应遵循最小权限原则，多层防御；厂商应确保信任边界处的字符串严格规范化，并建立透明的安全披露机制。