技术说明
安全研究员 Aonan Guan 于 2026 年 5 月 20 日披露,Anthropic Claude Code 的网络沙盒在 2025 年 10 月 20 日(沙盒 GA)至 2026 年 4 月 1 日(v2.1.90)期间存在 SOCKS5 主机名空字节注入漏洞。该漏洞允许攻击者通过向主机名注入空字节来绕过通配符允许列表过滤器(例如 `*.google.com`):`attacker-host.com\x00.google.com`。过滤器看到尾部的 `.google.com` 并批准连接,但操作系统解析器在空字节处截断并连接到 `attacker-host.com`。这是五个月内第二次 Claude Code 沙盒绕过;第一次(CVE-2025-66479,由 Guan 在 2025 年 12 月报告)涉及沙盒将 `allowedDomains: []` 解释为"允许一切"而不是"阻止全部"。Anthropic 在 2026 年 4 月 1 日的 v2.1.90 中修补了空字节注入,但未为 Claude Code 发布 CVE,未在发布说明中提及修复,并将 Guan 的 HackerOne 报告标记为内部发现的重复。Anthropic 声明在收到 Guan 的报告之前就已识别并修复了该问题。
攻击途径
能够影响在 Claude Code 沙盒内执行的代码的攻击者(例如通过提示注入,如 Guan 之前披露的评论和控制技术)可以制作带有空字节的 SOCKS5 主机名来绕过用户配置的网络允许列表。这使得能够从沙盒可访问的任何资源中泄露数据:凭据、源代码、环境变量、云元数据、内部 API 和 GitHub 令牌。当与提示注入结合时,该绕过特别危险,攻击者在 GitHub 问题评论、拉取请求标题或仓库 README 中隐藏指令,Claude Code 读取后会导致代理执行攻击者控制的代码。空字节注入随后允许该代码向任何互联网主机发送数据,即使用户已将出口限制为严格的允许列表。
受影响系统
从 v2.0.24(2025 年 10 月 20 日,沙盒 GA)到 v2.1.89(2026 年 3 月 31 日)期间依赖带有通配符允许列表的网络沙盒的任何 Claude Code 部署。在此窗口期间在承载凭据的系统上使用通配符允许列表运行 Claude Code 的用户应将该时期视为潜在的泄露事件。该漏洞影响 macOS 和 Linux 部署。在有权访问生产凭据、云基础设施或内部网络的系统上使用 Claude Code 进行开发的组织应审计受影响期间的日志和访问模式。
缓解措施
升级到 Claude Code v2.1.90 或更高版本(2026 年 4 月 1 日发布)。检查 2025 年 10 月 20 日 - 2026 年 4 月 1 日期间的网络和认证日志,查找运行 Claude Code 的系统的异常出站连接。轮换在漏洞窗口期间可被 Claude Code 访问的凭据和令牌。为任何具有网络访问权限的 AI 代理实施最小权限服务账户。对于在生产环境中使用 AI 编码代理的组织,将代理执行环境视为不可信任的,并在 API 网关处而不仅仅在代理的本地沙盒处执行授权。考虑网络层监控(出口过滤、DNS 日志记录)作为独立于代理提供的沙盒的辅助控制。