기술 설명
보안 연구원 Aonan Guan은 2026년 5월 20일 Anthropic Claude Code의 네트워크 샌드박스가 2025년 10월 20일(샌드박스 GA)부터 2026년 4월 1일(v2.1.90)까지 SOCKS5 호스트명 null-byte 삽입에 취약했다고 공개했습니다. 이 취약점으로 공격자는 호스트명에 null byte를 삽입하여 와일드카드 허용 목록 필터(예: `*.google.com`)를 우회할 수 있었습니다: `attacker-host.com\x00.google.com`. 필터는 후행 `.google.com`을 보고 연결을 승인했지만, OS 리졸버는 null byte에서 잘라내어 `attacker-host.com`으로 연결했습니다. 이는 5개월 내 두 번째 Claude Code 샌드박스 우회이며, 첫 번째(CVE-2025-66479, Guan이 2025년 12월 보고)는 샌드박스가 `allowedDomains: []`를 '모두 차단' 대신 '모두 허용'으로 해석한 것이었습니다. Anthropic은 2026년 4월 1일 v2.1.90에서 null-byte 삽입을 패치했지만 Claude Code에 대한 CVE를 발급하지 않았으며, 릴리스 노트에서 수정을 언급하지 않았고, Guan의 HackerOne 보고서를 내부 발견의 중복으로 표시했습니다. Anthropic은 Guan의 보고서를 받기 전에 이 문제를 파악하고 수정했다고 명시했습니다.
공격 경로
Claude Code 샌드박스 내에서 실행되는 코드에 영향을 미칠 수 있는 공격자(예: Guan이 이전에 공개한 Comment and Control 기법 같은 프롬프트 주입을 통해)는 null byte를 포함한 SOCKS5 호스트명을 만들어 사용자의 구성된 네트워크 허용 목록을 우회할 수 있습니다. 이는 샌드박스가 접근할 수 있는 모든 리소스(자격증명, 소스 코드, 환경 변수, 클라우드 메타데이터, 내부 API, GitHub 토큰)로부터 데이터를 탈취할 수 있게 합니다. 이 우회는 프롬프트 주입과 결합될 때 특히 위험하며, 공격자는 Claude Code가 읽는 GitHub 이슈 댓글, pull request 제목 또는 저장소 README에 지시사항을 숨겨 에이전트가 공격자 제어 코드를 실행하도록 합니다. null-byte 삽입은 사용자가 엄격한 허용 목록으로 송신을 제한했을 때도 해당 코드가 모든 인터넷 호스트로 데이터를 전송할 수 있게 합니다.
영향받는 시스템
v2.0.24(2025년 10월 20일, 샌드박스 GA)부터 v2.1.89(2026년 3월 31일)까지의 Claude Code 배포로서 와일드카드 허용 목록을 포함한 네트워크 샌드박스에 의존하는 경우입니다. 이 기간 동안 와일드카드 허용 목록으로 Claude Code를 실행한 자격증명 보유 시스템의 사용자는 해당 기간을 잠재적 탈취 사건으로 취급해야 합니다. 이 취약점은 macOS 및 Linux 배포에 영향을 미칩니다. 프로덕션 자격증명, 클라우드 인프라 또는 내부 네트워크에 접근할 수 있는 시스템에서 개발을 위해 Claude Code를 사용하는 조직은 영향을 받은 기간의 로그 및 접근 패턴을 감시해야 합니다.
완화 방안
Claude Code v2.1.90 이상으로 업그레이드합니다(2026년 4월 1일 출시). 2025년 10월 20일 - 2026년 4월 1일 기간의 네트워크 및 인증 로그를 검토하여 Claude Code를 실행하는 시스템의 비정상적인 아웃바운드 연결을 찾습니다. 취약 기간 동안 Claude Code가 접근할 수 있었던 자격증명 및 토큰을 회전합니다. 네트워크 접근 권한을 가진 모든 AI 에이전트에 대해 최소 권한 서비스 계정을 구현합니다. 프로덕션 환경에서 AI 코딩 에이전트를 사용하는 조직은 에이전트 실행 환경을 신뢰할 수 없는 것으로 취급하고 에이전트의 로컬 샌드박스가 아닌 API 게이트웨이에서 권한 부여를 적용합니다. 에이전트 제공 샌드박스와 무관한 보조 제어로서 네트워크 계층 모니터링(송신 필터링, DNS 로깅)을 고려합니다.