Penjelasan teknis
Dalam versi OpenClaude sebelum 0.5.1, schema input BashTool mengekspos parameter dangerouslyDisableSandbox kepada LLM. Karena LLM adalah principal yang tidak dipercaya menurut threat model proyek itu sendiri, ini berarti model itu sendiri—atau penyerang yang dapat mempengaruhi reasoning model melalui prompt injection—dapat mengatur dangerouslyDisableSandbox=true dan meloloskan diri dari sandbox BashTool sepenuhnya, mengeksekusi perintah arbitrer tanpa batasan sandbox yang dimaksudkan oleh developer.
Vektor serangan
Lapisan LLM reasoning (principal untrusted yang diklasifikasikan) dapat mengatur dangerouslyDisableSandbox=true sebagai bagian dari invokasi BashTool normal. Penyerang dapat memicu hal ini melalui prompt injection dalam konten apa pun yang diproses agent (dokumen, halaman web, output tool), menginstruksikan model untuk menonaktifkan sandbox sebelum mengeksekusi perintah.
Sistem yang terdampak
Versi OpenClaude (Gitlawb/openclaude) sebelum 0.5.1. Lebih luas, setiap AI coding agent atau CLI tool yang mengekspos parameter konfigurasi security-critical dalam schema input yang terlihat LLM rentan terhadap kelas serangan yang sama.
Mitigasi
Upgrade ke OpenClaude 0.5.1 atau lebih baru (patch commit aab489055c53dd64369414116fe93226d2656273 menghapus dangerouslyDisableSandbox dari schema input BashTool). Untuk agent developers: audit semua tool schema untuk parameter security-critical yang seharusnya dikontrol operator saja dan hapus dari definisi schema yang terlihat LLM. Kerentanan pendamping CVE-2026-42073 (CVSS 6.5) dalam rilis yang sama mengatasi bypass CSRF/state-parameter dalam alur callback OAuth MCP.