기술 설명
OpenClaude 0.5.1 이전 버전에서 BashTool 입력 스키마는 dangerouslyDisableSandbox 매개변수를 LLM에 노출합니다. 프로젝트 자체의 위협 모델에 따라 LLM이 신뢰할 수 없는 주체이므로, 이는 모델 자체 또는 프롬프트 인젝션을 통해 모델의 추론에 영향을 줄 수 있는 공격자가 dangerouslyDisableSandbox=true를 설정하고 BashTool 샌드박스를 완전히 탈출하여 개발자가 의도한 샌드박스 제한 없이 임의의 명령을 실행할 수 있음을 의미합니다.
공격 경로
LLM 추론 계층(분류된 신뢰할 수 없는 주체)은 일반적인 BashTool 호출의 일부로 dangerouslyDisableSandbox=true를 설정할 수 있습니다. 공격자는 에이전트가 처리하는 모든 콘텐츠(문서, 웹 페이지, 도구 출력)의 프롬프트 인젝션을 통해 이를 트리거하여 명령을 실행하기 전에 샌드박스를 비활성화하도록 모델에 지시할 수 있습니다.
영향받는 시스템
OpenClaude (Gitlawb/openclaude) 0.5.1 이전 버전. 더 광범위하게, LLM에 보이는 입력 스키마에서 보안 관련 구성 매개변수를 노출하는 AI 코딩 에이전트 또는 CLI 도구는 동일한 클래스의 공격에 취약합니다.
완화 방안
OpenClaude 0.5.1 이상으로 업그레이드하십시오(패치 커밋 aab489055c53dd64369414116fe93226d2656273은 BashTool 입력 스키마에서 dangerouslyDisableSandbox를 제거합니다). 에이전트 개발자의 경우: 운영자만 제어해야 하는 보안 관련 매개변수에 대해 모든 도구 스키마를 감시하고 LLM에 보이는 스키마 정의에서 제거하십시오. 같은 릴리스의 CVE-2026-42073 (CVSS 6.5) 관련 취약점은 MCP OAuth 콜백 흐름의 CSRF/상태 매개변수 우회를 해결합니다.