技术说明
在0.5.1版本之前的OpenClaude中,BashTool输入架构向LLM暴露dangerouslyDisableSandbox参数。由于LLM根据项目自身威胁模型是不受信任的主体,这意味着模型本身——或可通过提示注入影响模型推理的攻击者——可以设置dangerouslyDisableSandbox=true并逃离BashTool沙箱,执行开发者预期的沙箱限制之外的任意命令。
攻击途径
LLM推理层(分类为不受信任的主体)可以在正常BashTool调用期间将dangerouslyDisableSandbox=true设置为true。攻击者可通过代理处理的任何内容(文档、网页、工具输出)中的提示注入来触发这一点,指示模型在执行命令前禁用沙箱。
受影响系统
0.5.1版本之前的OpenClaude(Gitlawb/openclaude)。更广泛地说,任何在LLM可见输入架构中暴露安全关键配置参数的AI编码代理或CLI工具都容易受到相同类别攻击。
缓解措施
升级到OpenClaude 0.5.1或更高版本(补丁提交aab489055c53dd64369414116fe93226d2656273从BashTool输入架构中移除了dangerouslyDisableSandbox)。对于代理开发者:审计所有工具架构以查找应仅由运营商控制的安全关键参数,并从LLM可见架构定义中移除它们。配套漏洞CVE-2026-42073(CVSS 6.5)在同一发布中解决了MCP OAuth回调流中的CSRF/状态参数绕过。