新たに開示されたAnthropicのClaude Codeプラットフォームのセキュリティ脆弱性により、ネットワークサンドボックスの重大な弱点が露呈し、攻撃者が制限をバイパスして機密データを流出させる可能性が生じました。
セキュリティ研究者のAonan Guanによって発見されたこの問題は、6ヶ月以内に発見された2番目の完全なサンドボックスバイパスであり、組み込みセキュリティコントロールの信頼性についての懸念を高めています。
Claude Codeサンドボックスの脆弱性
この脆弱性はClaude Codeバージョン2.0.24から2.1.89に影響を与え、数ヶ月間で約130のリリースにわたります。
この脆弱性はSOCKS5ホスト名ヌルバイトインジェクション技術を利用し、サンドボックス内で実行される悪意のあるコードがブロックされた外部ホストにアクセスすることを可能にします(OddGuanによる報告)。
一般的なセキュアな設定では、ユーザーは*.google.comなどのホワイトリストを使用して送信ネットワーク制限を定義します。ただし、この脆弱性により攻撃者は以下のようなホスト名を作成できます:
attacker.com\x00.google.comサンドボックスのJavaScriptベースのフィルターは、「.google.com」サフィックスのため、これを許可されたドメインと解釈します。
一方、基盤となるオペレーティングシステムはヌルバイト(\x00)で文字列を切り詰め、リクエストをattacker.comに解決します。検証と解決の間のこのミスマッチにより、不正な送信接続が可能になります。
- APIキーと認証トークン
- 環境変数と設定ファイル
- ソースコードと内部プロジェクトデータ
- クラウドメタデータエンドポイントと内部サービス
プロンプトインジェクション攻撃と組み合わされると、リスクは大幅に高くなります。例えば、GitHubのイシューに隠された悪意のある指示またはドキュメントファイルにより、Claude Codeは攻撃者が制御するコードを実行するよう騙される可能性があります。
実行されると、サンドボックスバイパスによってSOCKS5接続での静かなデータ流出が可能になり、従来のHTTPベースの監視を回避する可能性があります。
この脆弱性は、2つのコンポーネントが同じ入力を異なる方法で解釈する古典的なパーサー差分の問題に起因しています:
- サンドボックスプロキシはJavaScript文字列マッチング(endsWith)を使用します
- OSリゾルバー(libc getaddrinfo)はヌルバイトを文字列終了記号として扱います
この矛盾は実装のギャップを生じさせ、サンドボックスが提供することを目的とするセキュリティ境界を事実上破壊します。
注目すべきことに、これはClaude Codeのサンドボックスに影響を与える2番目の主要な脆弱性です。以前の脆弱性(CVE-2025-66479)は、空のホワイトリスト(allowedDomains: [])を「すべて許可」ではなく「すべてブロック」として誤って扱いました。両方の問題は完全なサンドボックスバイパスをもたらしました。
Anthropicはバージョン2.1.90で2026年4月1日にリリースされたヌルバイトインジェクションの問題に対処しました。この修正により、ヌルバイトや非DNS文字を含む不正な入力を拒否するより厳密なホスト名検証が導入されました。
しかし、公開のセキュリティアドバイザリ、CVE割り当て、またはchangelogの言及は修正に付随していません。ユーザーはコードを独立して分析したり、外部の研究開示をフォローしたりしない限り、リスクを認識していません。
この透明性の欠如は、脆弱性の期間と重大性、ならびに現実の環境における機密データの潜在的な暴露を考えると、特に懸念されます。
リスク軽減と推奨事項
Claude Codeを使用している組織は、すぐに行動を起こすべきです:
- バージョン2.1.90以降にアップグレードする
- 疑わしいSOCKS5トラフィックについて送信ネットワークログを監査する
- 暴露されている可能性のある認証情報をローテーションする
- セキュリティを目的とするアプリケーションレベルのサンドボックスのみに依存しない
セキュリティ専門家は、外部ネットワークコントロール、分離された実行環境、厳密な認証情報管理慣行などの追加の防御層を実装することを推奨しています。
Claude Codeのサンドボックスの繰り返される失敗は、AIツールのセキュリティにおけるより広い問題を浮き彫りにしています。組み込みセーフガード、特にネットワーク境界を強制するものは、主要な防御として扱うべきではありません。
代わりに、アプリケーションレイヤーが危険にさらされた場合でも実行可能なままの外部コントロールで補完される必要があります。
AI支援開発ツールがより機密的なワークフローに統合されるにつれて、堅牢で透明なセキュリティ慣行を確保することは、将来の同様の事件を防ぐために重要になるでしょう。
翻訳元: https://gbhackers.com/claude-code-sandbox-flaw/
