技術的な説明
セキュリティ研究者 Aonan Guan は2026年5月20日、Anthropic Claude Code のネットワークサンドボックスが2025年10月20日(サンドボックス GA)から2026年4月1日(v2.1.90)まで SOCKS5 ホスト名ヌルバイト インジェクション脆弱性に対して脆弱であることを開示した。この脆弱性により、攻撃者はホスト名にヌルバイトを挿入することで ワイルドカード許可リストフィルター(例:`*.google.com`)をバイパスできた:`attacker-host.com\x00.google.com`。フィルターは末尾の `.google.com` を見て接続を承認したが、OS リゾルバーはヌルバイト時点で切り詰め、`attacker-host.com` に接続した。これは5ヶ月間における2番目の Claude Code サンドボックスバイパスである。最初のもの(CVE-2025-66479、Guan が2025年12月に報告)は、サンドボックスが `allowedDomains: []` を「すべて許可」ではなく「すべてブロック」と解釈したものであった。Anthropic はヌルバイト インジェクションを2026年4月1日の v2.1.90 でパッチしたが、Claude Code の CVE を発行せず、リリースノートで修正に言及せず、Guan の HackerOne レポートを内部発見の重複としてマーク した。Anthropic は Guan のレポート受領前に問題を特定および修正したと述べた。
攻撃経路
Claude Code サンドボックス内で実行されるコードに影響を与えることができる攻撃者(例えば、Guan が以前開示した Comment and Control 技術のようなプロンプト インジェクション経由)は、ユーザー設定のネットワーク許可リストをバイパスするために、ヌルバイトを含む SOCKS5 ホスト名を作成できた。これにより、サンドボックスがアクセス可能なあらゆるリソースからのデータ流出が可能となった:認証情報、ソースコード、環境変数、クラウドメタデータ、内部 API、GitHub トークン。このバイパスは特にプロンプト インジェクションと組み合わせた場合に危険である。攻撃者は GitHub issue コメント、プルリクエストタイトル、または Claude Code が読み込むリポジトリ README に命令を隠し、エージェントに攻撃者制御のコードを実行させることができた。ヌルバイト インジェクションはその後、ユーザーがエグレスを厳格な許可リストに制限している場合でも、そのコードが任意のインターネットホストにデータを送信することを可能にした。
影響を受けるシステム
v2.0.24(2025年10月20日、サンドボックス GA)から v2.1.89(2026年3月31日)までの Claude Code デプロイメントで、ワイルドカード許可リストを持つネットワークサンドボックスに依存しているもの。この期間中にワイルドカード許可リスト付きで Claude Code を実行したユーザーで、認証情報を保有するシステム上で実行していた場合、その期間を潜在的な流出イベントとして扱うべき。この脆弱性は macOS および Linux デプロイメントに影響する。本番認証情報、クラウドインフラストラクチャ、または内部ネットワークへのアクセス権を有するシステム上での開発に Claude Code を使用している組織は、影響を受けた期間のログおよびアクセスパターンを監査すべき。
緩和策
Claude Code v2.1.90 以降(2026年4月1日リリース)にアップグレードする。2025年10月20日~2026年4月1日の期間のネットワークおよび認証ログを確認し、Claude Code を実行しているシステムからの異常な外部接続を検出する。脆弱性期間中に Claude Code がアクセス可能であった認証情報とトークンをローテーションする。ネットワークアクセス権を持つ AI エージェントに対して、最小権限サービスアカウントを実装する。本番環境で AI コーディングエージェントを使用している組織の場合、エージェント実行環境を信頼できないものとして扱い、エージェントのローカルサンドボックスだけでなく API ゲートウェイで認可を実施する。ネットワークレイヤーの監視(エグレスフィルタリング、DNS ログ)をエージェント提供サンドボックスから独立した二次制御として検討する。