AnthropicのClaude Codeネットワークサンドボックスは、その内部のすべてのプロセスが送信制限を黙って回避し、ブロックされたホストに到達することを許可し、約130の公開バージョンで5ヶ月以上にわたって認証情報、ソースコード、環境変数の流出を潜在的に可能にしていました。
Aonan GuanはClaude Codeのネットワークサンドボックスを公開開示しました。これは2025年10月20日(v2.0.24)に一般利用開始となりました。
この脆弱性は、すべての送信トラフィックをローカルアローリストプロキシ経由で送信し、ユーザー定義ポリシーの外部のホストへの接続を黙ってブロックするように設計されていました。たとえば*.google.comなどです。実際には、サンドボックスは最初のリリースからバイパス可能でした。
セキュリティ研究者Aonan Guanが2026年5月20日に開示した2番目の脆弱性は、JavaScriptと基盤となるCライブラリlibcの間のパーサー差分を悪用しています。
ブロックされたホストに到達し、送信流出チャネルが開かれているとAonan Guanは述べています。このバイパスはプロンプトインジェクション攻撃と組み合わせると特に危険になります。
GitHubのイシューコメント、README、またはClaude Codeが通常の操作中に読む任意のドキュメントに埋め込まれた隠された命令は、サンドボックス内の攻撃者制御コードをトリガーするのに十分です。
その欠陥は2025年11月26日のv2.0.55で黙ってパッチされました。同じリリースでnullバイト挿入の欠陥がまだ無傷で出荷されました。
2026年5月10日現在、Anthropicはnullバイト挿入のためのCVEを発行していません。Claude Codeの勧告ページにセキュリティアドバイザリもなく、5.5ヶ月の脆弱性ウィンドウ中にワイルドカードアローリストを実行したユーザーへのアウトリーチもありません。
v2.0.24からv2.1.89までのすべてのClaude Codeリリースは、SOCKS5 nullバイト挿入に対して脆弱であることが確認されています。ユーザーは直ちに以下の手順を実行する必要があります:
翻訳元: https://cyberpress.org/claude-code-sandbox-flaw/