サイバーセキュリティ研究者によると、Anthropicは静かに脆弱性にパッチを適用しました。その脆弱性により、攻撃者がClaude Codeネットワークサンドボックスをバイパスしてデータ流出を可能にする可能性がありました。
Claude Codeのネットワークサンドボックスは、すべてのアウトバウンドトラフィックをローカルホワイトリストプロキシを通して処理し、承認されていないホストへの接続を静かにブロックします。
脆弱性研究者Aonan Guanによると、最近2つのClaude Codeネットワークサンドボックスバイパスが発見されました。CVE-2025-66479として追跡されている1つは、別の研究者によって発見され、サンドボックスがすべてのアウトバウンドトラフィックをブロックする設定を「すべてを許可」と解釈することに関連していました。
この問題は2025年11月26日にリリースされたアップデートで修正されました。
2番目のサンドボックスバイパス脆弱性は、Guanによって発見され、SOCKS5ホスト名ヌルバイト注入の問題として説明されています。
「ユーザーのポリシーは*.google.comのみを許可すると言っています。攻撃者はattacker-host.com\x00.google.comのようなホスト名を送信します。フィルターは末尾の.google.comを見て承認します。OSはヌルバイトで切り詰めてattacker-host.comに接続します」とGuanは説明しました。
Guanによると、脆弱性はサンドボックスが一般利用可能になった2025年10月20日から、4月のバージョン2.1.90のリリース時期まで、Claude Codeネットワークサンドボックスに存在していました。これはHackerOneのAnthropicのバグ報奨プログラムを通じて報告された時期です。AIの大手企業は脆弱性報告を重複としてマークしました。
研究者は、Anthropicがこの脆弱性にCVE識別子を割り当てず、リリースノートで問題に言及していないことに不満を感じています。
さらに、Guanはカヴェを指摘しました。CVE-2025-66479はClaude Code自体ではなく「sandbox-runtime」ライブラリに割り当てられ、Claude Codeユーザーへの警告がありませんでした。
「10月20日から11月26日まで本番環境で脆弱な設定を実行しているチームは、サンドボックスが事実上オフになっていることを知る方法がなく、その後それがかつてオフになっていたという通知もありませんでした。CVEはほとんどのClaude Codeユーザーが名前で存在していることを知らないライブラリに対して提供されました」と研究者は述べました。
Guanは最近Comment and Controlと呼ばれるプロンプト注入攻撃方法の詳細を公開しました。この攻撃はClaude Code Security Review、Gemini CLI Action、GitHub Copilot Agentを含む人気のあるAIコードセキュリティおよび自動化ツールに対して機能しました。
彼と他の研究者は、GitHub Actionsのこれらのツールに関連するAIエージェントが、PRタイトル、コメント、発行本文を含む特別に作成されたGitHubコメントを使用してハイジャックされる可能性があることを発見しました。
Claude Codeサンドボックス脆弱性の開示において、Guanはバイパスが「Comment and Control」などのプロンプト注入攻撃と組み合わせて特に有用であり、攻撃者が環境変数、認証情報、トークン、インフラストラクチャデータを含むデータを流出させることを可能にしたと指摘しました。
SecurityWeekに連絡されたAnthropicは、Guanの業務に感謝していますが、セキュリティチームは研究者の報告を受け取る前にこの問題を特定して修正していたと述べました。
AIの大企業は、修正は3月27日に「sandbox-runtime」リポジトリへのパブリックコミットに含まれており、3月31日にClaude Code 2.1.88で提供されたことを明確にしました。Guanが4月3日にHackerOneを通じて報告書を提出する前のことです。
翻訳元: https://www.securityweek.com/anthropic-silently-patches-claude-code-sandbox-bypass/
