Penjelasan teknis
Peneliti keamanan Aonan Guan mengungkapkan pada 20 Mei 2026 bahwa sandbox jaringan Claude Code milik Anthropic rentan terhadap injeksi null-byte hostname SOCKS5 dari 20 Oktober 2025 (sandbox GA) hingga 1 April 2026 (v2.1.90). Kerentanan ini memungkinkan penyerang untuk melewati filter allowlist wildcard (misalnya `*.google.com`) dengan menyuntikkan null byte ke dalam hostname: `attacker-host.com\x00.google.com`. Filter melihat `.google.com` di akhir dan menyetujui koneksi, tetapi OS resolver terpotong di null byte dan terhubung ke `attacker-host.com`. Ini adalah bypass sandbox Claude Code kedua dalam lima bulan; yang pertama (CVE-2025-66479, dilaporkan oleh Guan pada Desember 2025) melibatkan sandbox yang menginterpretasikan `allowedDomains: []` sebagai 'izinkan semuanya' bukan 'blokir semua.' Anthropic menambal injeksi null-byte di v2.1.90 pada 1 April 2026, tetapi tidak mengeluarkan CVE untuk Claude Code, tidak menyebutkan perbaikan dalam catatan rilis, dan menandai laporan HackerOne Guan sebagai duplikat dari temuan internal. Anthropic menyatakan bahwa ia mengidentifikasi dan memperbaiki masalah sebelum menerima laporan Guan.
Vektor serangan
Penyerang yang dapat mempengaruhi kode yang dijalankan di dalam sandbox Claude Code (misalnya, melalui prompt injection seperti teknik Comment and Control yang sebelumnya diungkapkan Guan) dapat membuat hostname SOCKS5 dengan null byte untuk melewati allowlist jaringan yang dikonfigurasi pengguna. Ini memungkinkan eksfiltrasi data dari sumber daya apa pun yang dapat diakses sandbox: kredensial, kode sumber, variabel lingkungan, metadata cloud, API internal, dan token GitHub. Bypass ini sangat berbahaya ketika dikombinasikan dengan prompt injection, di mana penyerang menyembunyikan instruksi dalam komentar issue GitHub, judul pull request, atau README repositori yang dibaca Claude Code, menyebabkan agen mengeksekusi kode yang dikendalikan penyerang. Injeksi null-byte kemudian memungkinkan kode tersebut mengirim data ke host internet apa pun, bahkan ketika pengguna telah membatasi egress ke allowlist yang ketat.
Sistem yang terdampak
Penerapan Claude Code apa pun dari v2.0.24 (20 Oktober 2025, sandbox GA) hingga v2.1.89 (31 Maret 2026) yang mengandalkan sandbox jaringan dengan allowlist wildcard. Pengguna yang menjalankan Claude Code dengan allowlist wildcard pada sistem yang memiliki kredensial harus memperlakukan periode tersebut sebagai potensi peristiwa eksfiltrasi. Kerentanan ini mempengaruhi penerapan macOS dan Linux. Organisasi yang menggunakan Claude Code untuk pengembangan pada sistem dengan akses ke kredensial produksi, infrastruktur cloud, atau jaringan internal harus mengaudit log dan pola akses untuk periode yang terdampak.
Mitigasi
Tingkatkan ke Claude Code v2.1.90 atau lebih baru (dirilis 1 April 2026). Tinjau log jaringan dan autentikasi untuk periode 20 Oktober 2025 - 1 April 2026 untuk mencari koneksi outbound yang anomali dari sistem yang menjalankan Claude Code. Rotasi kredensial dan token yang dapat diakses oleh Claude Code selama jendela rentan. Terapkan service account dengan least-privilege untuk agen AI apa pun dengan akses jaringan. Bagi organisasi yang menggunakan agen pengkodean AI dalam produksi, perlakukan lingkungan eksekusi agen sebagai tidak terpercaya dan paksakan otorisasi di API gateway, bukan hanya di sandbox lokal agen. Pertimbangkan pemantauan lapisan jaringan (egress filtering, DNS logging) sebagai kontrol sekunder yang independen dari sandbox yang disediakan agen.