技術的な説明
OpenClaude 0.5.1より前のバージョンでは、BashToolの入力スキーマがLLMに対してdangerouslyDisableSandboxパラメータを公開しています。プロジェクト独自の脅威モデルに従うとLLMは信頼されないプリンシパルであるため、モデル自体またはプロンプトインジェクションを通じてモデルの推論に影響を与える攻撃者がdangerouslyDisableSandbox=trueを設定し、BashToolサンドボックスを完全に脱出して、開発者が意図したサンドボックス制限なしに任意のコマンドを実行することができます。
攻撃経路
LLM推論レイヤー(機密扱いの信頼されないプリンシパル)は通常のBashTool呼び出しの一部としてdangerouslyDisableSandbox=trueを設定できます。攻撃者は、エージェントが処理するコンテンツ(ドキュメント、Webページ、ツール出力)内でのプロンプトインジェクションを通じてこれをトリガーし、コマンド実行前にサンドボックスを無効化するようモデルに指示することができます。
影響を受けるシステム
OpenClaude (Gitlawb/openclaude) 0.5.1より前のバージョン。より広くは、LLM可視入力スキーマでセキュリティ上重要な設定パラメータを公開しているAIコーディングエージェントまたはCLIツールは、同じクラスの攻撃に対して脆弱です。
緩和策
OpenClaude 0.5.1以降にアップグレードしてください(パッチコミットaab489055c53dd64369414116fe93226d2656273によってdangerouslyDisableSandboxがBashTool入力スキーマから削除されます)。エージェント開発者向け:セキュリティ上重要なパラメータがすべてオペレータ制御のみであるべきツールスキーマを監査し、LLM可視スキーマ定義から削除してください。同じリリースの関連脆弱性CVE-2026-42073 (CVSS 6.5)はMCP OAuthコールバックフロー内のCSRF/状態パラメータバイパスに対応しています。