セキュリティ
また別の日、CVEなし、公開開示もなしに静かに修正されたAIバグ
Claude Codeのネットワークサンドボックスの2つのバイパスバグが現在パッチされており、ユーザーをリスクにさらしています。このうちの1つは、サンドボックス内の認証情報、ソースコード、その他のプライベートデータなど、あらゆるものをインターネット上の任意のサーバーに送信することを可能にします。両方の欠陥を発見してAnthropicに報告した研究者によると。
Wyze Labsでクラウドとセキュリティを主導し、事実上すべてのAIシステムのバグを探し出してきたAonan Guanは、The Registerに対して、これはAnthropicがClaude Codeのサンドボックスバイパス脆弱性を5ヶ月間で2度目となるCVEセキュリティ勧告を発行せずに静かに修正したことだと述べました。
最新の問題は、サンドボックス許可リストフィルターをだまして、ブロックすべき接続を承認させることができるSOCKS5ホスト名ヌルバイト注入です。これは、Guanが以前のコメントと制御研究で詳述したプロンプトインジェクションと組み合わせると特に危険です。
プロンプトインジェクションと組み合わせると、この新しい欠陥は、Claudeに隠された指示を読ませ、サンドボックスで攻撃者が制御するコードを実行させるために悪用される可能性があり、悪質な行為者がサンドボックスが到達できるあらゆるものを流出させることができます。これには、クラウドとGitHub認証情報、Claudeが認証したGitHubトークン、クラウドメタデータ、および内部APIが含まれます。
「ワイルドカードアローリストでClaude Codeを実行した認証情報を持つシステムの場合、ネットワーク境界はサンドボックスGAからv2.1.90までの5.5ヶ月間は存在しませんでした」とGuanは水曜日に公開された研究で述べました。「その期間を潜在的な流出イベントとして扱ってください。」
Anthropicは、Guanの報告を受け取る前に最新の欠陥を発見して修正したと述べています。スポークスパーソンによると、修正はサンドボックスランタイムリポジトリの公開コミットであり、3月31日のClaude Code 2.1.88に搭載されました。「誰でも見ることができます」とのことです。
Guanは4月3日にHackerOneで報告書を提出しました。
「報告書は、Anthropicが既に検出してパッチを当てた脆弱性について説明していたため、内部での発見の重複として閉じられました」とスポークスパーソンは述べました。「この報告書に関する研究者の時間に感謝します。」
Guanはタイムラインに異議を唱えていません。「それは核心的な問題ではありません」と彼はThe Registerに述べました。
穴のあるサンドボックスを出荷することは、サンドボックスを出荷しないことより悪いです。サンドボックスを持たないユーザーは境界がないことを知っています。壊れたサンドボックスを持つユーザーはそうだと思っています。
「核心的な問題は、これはユーザー設定のネットワークサンドボックスのバイパスであり、依然としてアドバイザリーCVEがなく、チェンジログノートもないということです」と彼は述べました。「穴のあるサンドボックスを出荷することは、サンドボックスを出荷しないことより悪いです。サンドボックスを持たないユーザーは境界がないことを知っています。壊れたサンドボックスを持つユーザーはそうだと思っています。」
Claudeにとっては、Guanの側に立つようです。
彼がClaudeに自分の穴を見せたとき、ボットは彼の研究で公開されたスクリーンショットによると「これはネットワークサンドボックスフィルターの本当のバイパスです」と応答しました。
Guanが報告し、2025年12月に詳述した以前のバグは、最終的にCVEトラッカーCVE-2025-66479が割り当てられ、v0.0.16でパッチされました。
しかし、CVEはAnthropicのサンドボックスランタイム(アップストリームパッケージ)にのみ適用され、Claude Code特有ではないため、Guanが述べるように、ユーザーが自分のAIコーディングアシスタントが「何も許可しない」を「すべて許可する」と読んでいるかどうかを知る方法がありません。彼はClaude CodeのCVEをリクエストしました。Anthropicは「根本的な原因はライブラリにあります」という理由でノーと言いました。
Guanはこちらに対して、Anthropicが最終的にセキュリティホールに対処したことに感謝していると述べました。しかし、開示プロセス全体は、研究者とThe Registerの記者が報告した別の問題を示しています。それはAIベンダーがどのようにその製品の脆弱性を扱うかです。CVEは発行されず、欠陥が修正される場合、通常静かに行われ、公開勧告はありません。ほとんどの場合、AIエージェントおよび他のシステムのセキュリティの責任は、エンドユーザーに押し付けられます。
ユーザーはリスクが実在することを知る必要があり、多くの場合、彼らは決して知らないかもしれません。
「一部のベンダーはCVEを発行し、一部はそうしません」とGuanは述べました。「どちらのアプローチも合理的である可能性があると思いますが、勧告は必須です。ユーザーはリスクが実在することを知る必要があり、多くの場合、彼らは決して知らないかもしれません。公開が見落としていることは、ベンダーが研究者に報酬を与え、ソフトウェアを静かにパッチする可能性があり、エンドユーザーはリリースノートまたは公開勧告からリスクが存在していたことを学びません。」
Guanによると、これはなぜユーザーがセキュリティ会社またはユーザー制御ランタイム分離から独自の保護が必要かを示しています。しかし、彼は大手技術企業が「セキュリティ問題の明確な伝達の責任を担う」ことを望んでいると述べました。
「そのため、企業がAIエージェントを通常のソフトウェアツールよりも従業員に近い方法で扱うべきだと思います」と彼はこちらに述べました。「従業員を雇用する前に、企業は身元調査を行います。システムへのアクセスを与える前に、彼らは権限を定義します。同じ規律がAIエージェントに適用されるべきです。」®
それを養う手を噛む
