以"安全优先"定位的 Anthropic，其中枢开荒器具 Claude Code 的集结沙箱在往日五个月里从未确切安全过。

零丁安全相干员关傲男（Aonan Guan）5 月 20 日发布最新相干，线路 Claude Code 集结沙箱存在第二个齐备绕过转折——一个 SOCKS5 契约中的空字节注入报复，不错让沙箱内的程度探询用户战术明确辞让的任性主机。这意味着从 2025 年 10 月沙箱功能上线于今，约 5.5 个月、130 个发布版块，Claude Code的每一个版块都存在可被齐备绕过的安全劣势。这已是吞并相干员对同总共防地的第二次齐备冲破。

Anthropic 对此的回话是千里默：莫得安全告示，莫得 CVE 编号，莫得用户陈诉。转折在 4 月 1 日的版块中静默竖立，更新日记未说起任何安全关系内容。也即是说，一位仍在运行旧版块的用户，都备无从清醒我方配置的沙箱从一开动就形同虚设。

同总共门的两次钥匙

Claude Code 是 Anthropic 于 2025 岁首推出的 AI 编程助手，定位是"驻留在结尾中的 AI 工程师"。与传统的聊天式代码补全不同，Claude Code 领有对用户代码库的读写权限和号召奉行才能，大约自主完成导航代码、剪辑文献、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——如若模子被指示词注入报复劫抓，报复者将赢得等同用户结尾权限的才能，包括读取土产货环境变量、奉行任性系统号召、探询里面集结资源等。

为了均衡安全与后果，Anthropic 在 2025 年 10 月引入了集结沙箱功能（v2.0.24），允许用户通过配置文献设定域名白名单，次第 AI 奉行环境的外部集结探询。举例配置 allowedDomains: [ " *.google.com " ] 后，Claude Code 只可探询 Google 过火子域名，其余流量一律阻断。官方文档明确同意："空数组等于辞让统统集结探询。"

这一机制由一个 SOCKS5 代理结束：底层沙箱运行时（@anthropic-ai/sandbox-runtime）启动代理就业器，沙箱内的程度不径直发起辘会聚会，而是通过代理转发，代理根据用户在   settings.json   中配置的白名单奉行域名过滤。操作系统层面的沙箱机制—— macOS 的 sandbox-exec、Linux 的 bubblewrap ——正确地将 Agent 次第在土产货回文地址，出站有缱绻则都备奉求给这个 SOCKS5 代理。

Anthropic 官方博客展示的 Claude Code 沙箱架构图——用户号召过程 SOCKS/HTTP 代理过滤后到达沙箱，沙箱内的文献操作与集结探询受严格权限管控

问题就出在这个代理的结束上。两次零丁的安全相干均解说，它不错被齐备绕过。

时间线暴袒露更深层的问题：2025 年 11 月 26 日发布的 v2.0.55 竖立了第一次绕过，但第二次绕过从沙箱上线的第一天起就已存在，该版块仍然捎带。两个转折在时间线上存在交叉，从沙箱功能上线的第一天到终末一个转折被竖立，莫得任何版块是安全的。Anthropic 在官方博客中声称沙箱"确保即使发生指示词注入，影响也被都备艰涩"，但这两次绕过的存在径直推翻了这一同意。

"一次外部敷陈是运说念。两次是实施质料问题。"——关傲男相干敷陈浮现。

一个空字节的齐备绕过

第二次绕过的本事旨趣并不复杂，但报复链条的齐备性值得关心。

用户配置了集结白名单，举例只允许探询   *.google.com。Claude Code 的 SOCKS5 代理在收到聚会苦求时，用 JavaScript 的   endsWith ( )   方法对主机名作念后缀匹配。报复者只需在主机名中插入一个空字节——构造形如 attacker-host.comx00.google.com   的字符串。JavaScript 将空字节视为普通 UTF-16 字符，endsWith ( " .google.com " )  复返   true，代理放行。但吞并字符串被传递到底层 C 说话函数   getaddrinfo ( )  进行 DNS 融会时，空字节被视为字符串远隔符，践诺融会的是   attacker-host.com。一样的字节，两层代码给出了两种解读。过滤器以为你在探询 Google，DNS 融会器知说念你在聚会报复者的就业器。

这属于经典的"融会器互异"报复，与 2005 年发现的 HTTP 苦求私运属吞并本事类别（CWE-158 / CWE-436）。其骨子是当吞并条数据流经两个具有不同语义解释章程的组件时，报复者不错行使这种互异，让一层组件作念出"安全"的判断，同期让另一层组件奉行"危急"的操作。此类转折在集结安全范畴反复出现，症结资格长久换取：任何罕见信任领域的字符串传递，都必须经过严格的圭表化与考证，而非信任表层也曾作念过搜检。

关傲男使用两个最小化的 Node.js 剧本完成了转折复现：次第剧本使用普通主机名发起 SOCKS5 聚会，复返 BLOCKED；报复剧本在主机名中注入空字节，复返 BYPASSED rep=0x00 ——后者意味着代理已告成建立聚会，出站通说念被掀开。Claude Code 自身阐明了这一收尾。

Claude Code v2.1.86 中四个红色标注圭臬的齐备转折复现——战术阐明、普通阻挡、空字节绕过、Claude 自身阐明

而这一沙箱绕过与关傲男 4 月线路的"评述与次第"指示词注入报复串联后，组成了齐备的报复链。"评述与次第"相干已解说，三家 AI 编程器具均存在指示词注入报复面，但报复进口各不换取：Claude Code 仅通过 PR 标题，Gemini CLI 通过 Issue 评述或正文，Copilot Agent 则行使 HTML 矜重结束避讳注入。以 Claude Code 为例，其 PR 标题会被径直拼接至指示词模板，未经过滤或转义，模子无法分手东说念主类意图与坏心注入。

将两者组合——荫藏指示让 Agent 在沙箱内运行报复代码，空字节注入冲破集结顽固——环境变量中的API密钥、AWS凭证、GitHub令牌、里面API端点数据等，博亚(中国)一站式服务官方网站均可被传说至互联网上的任性就业器。数据通过 SOCKS5 代理自身流出，报复全程无需外部就业器中转，而该代理恰正是用户信任为安全领域的组件。报复者以至不需要仓库写入权限，只需提交一个公开 Issue 即可。东说念主类审查者在 GitHub 渲染视图中看到的是平常攀附苦求，AI Agent 融会的却是齐备坏心源码。

连 Claude 都承认：转折是真实的

这次线路中的一个症结细节来自 Claude Code 自身。关傲男径直将转折复当代码交给 Claude Code 运行，要求其作念出本事判断。Claude Code 在奉行了次第测试（普通主机名被阻挡）和报复测试（空字节主机名绕过阻挡）后，给出了明确论断：

" This is a real bypass of the network sandbox filter， not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues. "（"这是对集结沙箱过滤器的真实绕过，不是测试假象。你应该向 Anthropic 敷陈这个问题。"）

被测试的居品我方阐明了转折的真实性和严重性，以至主动给出了上报旅途。这个细节被关傲男齐备纪录在相干敷陈中，并成为 The Register 报说念标题的开端——" Even Claude agrees hole in its sandbox was real and dangerous "（连 Claude 都招供，其沙箱中的转折是真实且危急的）。

关傲男相干封面—— Claude Code 被展示自身转折后承认"这是对集结沙箱过滤器的真实绕过"，红色框标注症结阐明语句

Anthropic 的回话与五个月的千里默

转折自身令东说念主担忧，但 Anthropic 的管束神志更值得行业谛视。

关傲男于 2026 年 4 月初通过 HackerOne 转折赏金诡计（敷陈编号 #3646509）向 Anthropic 提交了第二次沙箱绕过的详备敷陈。Anthropic 的初步回话是：

" Thank you for your report. After reviewing this submission， we've determined it's a duplicate of an existing internal report we're already tracking. "（"感谢您的敷陈。经审核，咱们认定该提交与咱们已在跟踪的既有里面敷陈重迭。"）

敷陈无意被关闭。当关傲男追问 CVE 编号诡计时，Anthropic 于 4 月 7 日回复：

" We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision. "（"咱们尚未决定是否为该问题发布 CVE 编号，也无法提供关系决定的时间表。"）

而后转折在 v2.1.90 版块中静默竖立。莫得安全告示，莫得CVE编号，Claude Code安全建议页面无任何条件，更新日记未说起任何安全关系描摹。一个从沙箱上线第一天就存在、抓续 5.5 个月、障翳约 130 个版块的齐备绕过，对用户而言仿佛从未发生过。

这一管束方法并非初度出现。第一次绕过（CVE-2025-66479）的冒昧神志险些如出一辙：Anthropic 将 CVE 仅分拨给底层库  @anthropic-ai/sandbox-runtime（CVSS 评分仅 1.8，" Low "），而非面向用户的居品 Claude Code；更新日记中写的是" Fixed proxy DNS resolution "（竖立了代理 DNS 融会），未说起安全转折。关傲男在相干敷陈中对此写说念："当 React Server Components 出现严重转折时，React 和 Next.js 各自赢得了零丁的 CVE，Meta 和 Vercel 都发布了安全告示，两个社区都得到了充分陈诉。Anthropic 经受了不同的作念法。"次第当今，搜索" Claude Code Sandbox CVE "依然无法找到任何官方安全告示。

在冒昧凭证窃取问题时，Anthropic 经受封禁ps号召，但黑名单念念路先天不及——封禁一个号召，报复者有无数替代旅途。正确作念法是明确声明Agent只需要哪些器具。而在"评述与次第"相干中，Anthropic 虽将转折评级普及至 CVSS 9.4（Critical 级别）并转入独到赏金诡计，发言东说念主却浮现"该器具在设想上并未针对指示词注入进行加固"。厂商默许信任模子自身的安全才能，却在系统架构层面艰难纵深珍藏；当转折暴袒露这种缺失机，"设想局限"便成了一个便捷的分类——它既承认了问题，又在某种程度上免除了发布安全告示的义务。

更平庸的行业图景是，一样的问题不啻于 Anthropic 一家。4 月线路的"评述与次第"相干中，Google 的 Gemini CLI 和微软 GitHub 的 Copilot Agent 均被证实存在吞并报复面，三家公司均阐明并竖立，但莫得一家发布安全告示或CVE编号。Anthropic 支付 100 好意思元赏金，Google 支付 1337 好意思元，GitHub 领先以"已知问题，无法复现"关闭敷陈，在收到逆向工程凭证后以"信息性"标签了案，披发 500 好意思元。推测1937好意思元——而这三款居品障翳了《资产》百强中绝大多半企业。

荒唐的安全感比莫得安全措施更具危害。莫得沙箱的用户知说念我方莫得领域；领有疏忽沙箱的用户以为我方有。一个运行 Claude Code 并配置了域名白名单的团队，在 5.5 个月里对风险绝不知情，升级后看到更新日记只会得出论断：沙箱一直在平常责任。此外，当转折被线路后，莫得安全告暗意味着用户无法判断我方是否曾受到影响，也艰难回溯审计的依据。

濒临这一近况，安全社区开动酿成共鸣：不成将信任单点化地押注在厂商的沙箱结束上。Claude Code 的 SOCKS5 代理构建在一个仅 10 个 GitHub Star、终末提交停留在 2024 年 6 月的第三方 npm 包之上，安全领域横跨 JavaScript 和 C 两种运行时，却在信任接壤处枯竭最基本的圭表化管束。竖立补丁中添加的isValidHost ( ) 函数——认真拒却空字节、百分号编码、CRLF 等造孽字符——本应从沙箱上线第一天就存在。关傲男提倡了一个求实的珍藏框架——将 AI Agent 视为需要罢黜最小权限原则的超等职工，中枢在于多层珍藏：

安全的声誉建立在每一次线路和每一个补丁的透明度之上，而非品牌叙事。当用户基于信任将凭证交给 Agent 管束时，厂商有义务确保防地有用，也有义务在失效时实时陈诉。这两点，Anthropic 在 Claude Code 沙箱上都未能作念到。

"沙箱最坏的收尾不是阻滞了什么，而是给了东说念主们一种荒唐的安全感。发布一个有转折的沙箱，比不发布沙箱更晦气。"——关傲男浮现。

（本文首发钛媒体 APP，作家 | 硅谷 Tech_news，剪辑 | 焦燕）

参考贵寓：

1. oddguan.com — Second Time， Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration（Aonan Guan， 2026.05.20）

2. The Register — Even Claude agrees hole in its sandbox was real and dangerous（2026.05.20）博亚(中国)一站式服务官方网站