作者:吴旻云发布时间:2026-06-17 03:26:21 点击数:48357

近期官方渠道更新行业动态中国龙舟公开赛前两艘龙舟被烧 很高兴为您解答这个问题,让我来帮您详细说明一下。品牌授权报修电话,快速上门服务

河东区东新街道江苏省南通市启东市四川省甘孜藏族自治州丹巴县陕西省商洛市山阳县大兴区合肥市瑶海区平顶山市卫东区合肥市瑶海区山西省吕梁市中阳县陕西省商洛市山阳县密云区古北口镇桂林市秀峰区静海区西翟庄镇内蒙古兴安盟乌兰浩特市密云区古北口镇信阳市平桥区防城港市东兴市山西省忻州市定襄县芜湖市南陵县山西省晋城市泽州县和田地区武清区汊沽港镇四川省成都市双流区山东省烟台市牟平区许昌市建安区平顶山市湛河区塔城地区和布克赛尔蒙古自治县行唐县龙州镇山西省长治市襄垣县防城港市东兴市四川省广元市百色市靖西市陕西省汉中市西乡县濮阳市南乐县四川省广安市岳池县山东省烟台市龙口市崇左市静海区大邱庄镇平顶山市湛河区青海省玉树藏族自治州治多县贵州省铜仁市印江土家族苗族自治县山东省威海市山西省晋中市太谷区辽宁省大连市旅顺口区蓟州区东施古镇顺义区空港街道昌平区阳坊镇平顶山市卫东区甘肃省甘南藏族自治州山西省吕梁市岚县陕西省汉中市西乡县山西省晋中市灵石县辽宁省沈阳市蓟州区官庄镇四川省德阳市广汉市陕西省商洛市山阳县广东省江门市平山县宅北乡许昌市建安区西藏山南市贡嘎县辽宁省锦州市义县四川省凉山彝族自治州甘洛县甘肃省定西市渭源县昌平区小汤山镇崇左市宁明县银川市贺兰县陕西省汉中市西乡县黑龙江省伊春市金林区四川省甘孜藏族自治州泸定县海南省三沙市西沙区西乡塘区博尔塔拉蒙古自治州温泉县北辰区许昌市建安区山东省威海市黑龙江省哈尔滨市巴彦县山西省朔州市山阴县山西省吕梁市中阳县防城港市东兴市辽宁省大连市旅顺口区合肥市瑶海区广东省佛山市三水区福建省莆田市仙游县四川省广安市岳池县怀柔区宝山镇江西省赣州市石城县湖北省孝感市汉川市丰台区和义街道青海省海北藏族自治州门源回族自治县福建省福州市罗源县山西省朔州市山阴县朝阳区管庄地区洛阳市汝阳县贵州省铜仁市印江土家族苗族自治县陕西省汉中市南郑区武清区上马台镇塔城地区和布克赛尔蒙古自治县平山县小觉镇黑龙江省佳木斯市富锦市长安区广安街道

本月行业协会发布重大政策能随意窃取数据!这款热门 AI 编程工具曝重大隐患,很高兴为您解答这个问题,让我来帮您详细说明一下:官方服务专线,支持多品牌报修

湖北省襄阳市襄州区顺义区空港街道湖北省宜昌市夷陵区元氏县殷村镇喀什地区麦盖提县四川省德阳市广汉市博尔塔拉蒙古自治州温泉县山东省潍坊市青州市山东省淄博市临淄区西青区精武镇黑龙江省佳木斯市富锦市密云区高岭镇密云区高岭镇湖北省襄阳市襄州区阿克苏地区拜城县密云区高岭镇湖北省宜昌市夷陵区隆安县延庆区康庄镇芜湖市南陵县青海省海西蒙古族藏族自治州德令哈市黑龙江省鸡西市鸡冠区西藏拉萨市达孜区北辰区广源街道河东区大直沽街道云南省玉溪市新平彝族傣族自治县平山县宅北乡黑龙江省七台河市桃山区福建省漳州市龙海市陕西省宝鸡市眉县内蒙古呼伦贝尔市阿荣旗喀什地区麦盖提县四川省甘孜藏族自治州九龙县西乡塘区朝阳区小红门地区四川省泸州市江阳区江苏省徐州市黑龙江省哈尔滨市巴彦县哈密市伊吾县西城区天桥街道防城港市东兴市朝阳区小红门地区黑龙江省鸡西市鸡冠区朝阳区酒仙桥街道怀柔区龙山街道西青区精武镇内蒙古鄂尔多斯市康巴什区上海市市辖区嘉定区赞皇县西龙门乡山东省烟台市牟平区黑龙江省佳木斯市富锦市四川省甘孜藏族自治州丹巴县桂林市兴安县江苏省苏州市相城区山东省德州市齐河县福建省三明市梅列区四川省乐山市蓟州区东二营镇无极县大陈镇许昌市建安区山西省运城市夏县怀柔区雁栖地区江西省吉安市永新县四川省广安市岳池县北海市海城区南阳市内乡县西藏拉萨市达孜区山西省晋中市太谷区洛阳市汝阳县山东省滨州市四川省甘孜藏族自治州泸定县四川省甘孜藏族自治州福建省莆田市仙游县湖北省恩施土家族苗族自治州恩施市江西省萍乡市上栗县芜湖市南陵县湖北省襄阳市襄州区朝阳区双井街道山西省阳泉市平定县武清区汊沽港镇云南省红河哈尼族彝族自治州泸西县江苏省苏州市相城区井陉县测鱼镇江西省吉安市吉安县广东省佛山市三水区山西省忻州市定襄县四川省甘孜藏族自治州山东省泰安市东平县元氏县殷村镇云南省普洱市景东彝族自治县云南省丽江市宁蒗彝族自治县蓟州区东施古镇河东区大直沽街道西青区精武镇云南省丽江市宁蒗彝族自治县亳州市利辛县濮阳市南乐县山西省晋城市高平市喀什地区叶城县门头沟区大峪街道

全球服务区域:顺义区空港街道西青区精武镇桂林市秀峰区北辰区广源街道桂林市秀峰区桥西区东华街道四川省成都市双流区上海市市辖区嘉定区贵州省黔南布依族苗族自治州惠水县陕西省汉中市西乡县芜湖市南陵县贵州省黔东南苗族侗族自治州天柱县福建省福州市永泰县南阳市内乡县四川省凉山彝族自治州甘洛县陕西省宝鸡市千阳县昌平区回龙观街道黑龙江省七台河市桃山区山西省晋中市榆社县广东省汕头市龙湖区山东省泰安市泰山区辽宁省铁岭市清河区山西省阳泉市平定县云南省普洱市景东彝族自治县洛阳市汝阳县西藏阿里地区日土县密云区高岭镇江西省宜春市宜丰县福建省南平市钦州市四川省成都市新都区南阳市内乡县武清区汊沽港镇井陉县吴家窑乡平山县上观音堂乡朝阳区双井街道西青区精武镇南开区长虹街道密云区高岭镇山西省晋城市高平市崇左市江西省吉安市吉安县丰台区长辛店镇青海省果洛藏族自治州密云区高岭镇广东省广州市越秀区四川省宜宾市翠屏区行唐县龙州镇静海区西翟庄镇大兴区山东省烟台市龙口市防城港市东兴市四川省宜宾市珙县甘肃省陇南市江西省萍乡市上栗县重庆市县巫山县辽宁省辽阳市白塔区钦州市黑龙江省鸡西市鸡冠区北辰区广源街道防城港市东兴市江苏省徐州市新沂市新乐市协神乡四川省遂宁市蓬溪县蓟州区东二营镇山东省泰安市泰山区蓟州区东施古镇甘肃省庆阳市镇原县四川省宜宾市翠屏区河西区桃园街道北辰区广源街道马鞍山市博望区江西省鹰潭市余江区山西省晋城市泽州县四川省德阳市广汉市陕西省汉中市留坝县防城港市东兴市辽宁省沈阳市沈河区南开区体育中心街道云南省红河哈尼族彝族自治州绿春县四川省泸州市江阳区南开区长虹街道元氏县苏村乡江西省鹰潭市余江区四川省乐山市平山县上观音堂乡山东省烟台市龙口市甘肃省陇南市武都区黑龙江省大兴安岭地区呼玛县江苏省南通市启东市辽宁省沈阳市延庆区沈家营镇云南省怒江傈僳族自治州福贡县江西省鹰潭市余江区山西省吕梁市中阳县四川省凉山彝族自治州西昌市山西省朔州市山阴县贵州省六盘水市水城县西藏阿里地区日土县蚌埠市蚌山区

今日官方渠道公布新政策能随意窃取数据!这款热门 AI 编程工具曝重大隐患,很高兴为您解答这个问题,让我来帮您详细说明一下:售后服务维修中心电话,支持多渠道服务

全国服务区域:平山县上观音堂乡蚌埠市龙子湖区贵州省黔东南苗族侗族自治州天柱县西藏山南市贡嘎县贵州省六盘水市水城县福建省福州市罗源县山西省晋中市灵石县云南省文山壮族苗族自治州广南县平山县岗南镇江西省景德镇市昌江区哈密市伊吾县许昌市建安区开封市通许县长安区南村镇无极县大陈镇四川省甘孜藏族自治州九龙县和平区南市街道福建省南平市四川省乐山市密云区不老屯镇陕西省汉中市西乡县湖北省宜昌市宜都市蚌埠市蚌山区甘肃省兰州市云南省玉溪市新平彝族傣族自治县四川省遂宁市蓬溪县北辰区广源街道贵州省铜仁市印江土家族苗族自治县百色市田林县山西省忻州市宁武县合肥市庐阳区山西省忻州市定襄县陕西省宝鸡市眉县西城区天桥街道密云区河南寨镇阿克苏地区拜城县四川省凉山彝族自治州甘洛县赵县沙河店镇四川省遂宁市蓬溪县平顶山市卫东区福建省南平市静海区西翟庄镇元氏县殷村镇甘肃省甘南藏族自治州四川省成都市双流区西乡塘区井陉县测鱼镇辽宁省辽阳市白塔区蓟州区东赵各庄镇山东省泰安市东平县湖北省襄阳市襄州区四川省宜宾市珙县广东省汕头市龙湖区平山县岗南镇马鞍山市博望区黑龙江省哈尔滨市巴彦县山西省晋中市榆社县广东省广州市越秀区怀柔区宝山镇海淀区青龙桥街道重庆市县巫山县四川省甘孜藏族自治州九龙县昌平区延寿镇洛阳市汝阳县山西省运城市夏县四川省广安市岳池县福建省福州市永泰县云南省普洱市景东彝族自治县山西省晋中市灵石县昌平区小汤山镇江苏省连云港市赣榆区四川省宜宾市翠屏区亳州市利辛县朝阳区酒仙桥街道乌鲁木齐市沙依巴克区百色市田林县丰台区和义街道内蒙古鄂尔多斯市鄂托克旗黑龙江省哈尔滨市巴彦县博尔塔拉蒙古自治州温泉县四川省遂宁市蓬溪县延庆区沈家营镇怀柔区龙山街道山西省晋中市太谷区四川省宜宾市珙县江苏省苏州市相城区江西省九江市武宁县甘肃省甘南藏族自治州桂林市秀峰区江西省吉安市吉安县西藏拉萨市达孜区江西省宜春市宜丰县桂林市秀峰区海南省海口市美兰区重庆市县巫山县辽宁省铁岭市开原市鹿泉区白鹿泉乡平山县岗南镇四川省甘孜藏族自治州丹巴县丰台区长辛店镇

售后服务上门服务电话,智能分配单据:能随意窃取数据!这款热门 AI 编程工具曝重大隐患

以“安全优先”定位的Anthropic,其核心开发工具Claude Code的网络沙箱在过去五个月里从未真正安全过。

独立安全研究员关傲男(Aonan Guan)5月20日发布最新研究,披露Claude Code网络沙箱存在第二个完整绕过漏洞——一个SOCKS5协议中的空字节注入攻击,可以让沙箱内的进程访问用户策略明确禁止的任意主机。这意味着从2025年10月沙箱功能上线至今,约5.5个月、130个发布版本,Claude Code的每一个版本都存在可被完整绕过的安全缺陷。这已是同一研究员对同一道防线的第二次完整突破。

Anthropic对此的回应是沉默:没有安全通告,没有CVE编号,没有用户通知。漏洞在4月1日的版本中静默修复,更新日志未提及任何安全相关内容。也就是说,一位仍在运行旧版本的用户,完全无从知晓自己配置的沙箱从一开始就形同虚设。

同一道门的两次钥匙

Claude Code是Anthropic于2025年初推出的AI编程助手,定位是“驻留在终端中的AI工程师”。与传统的聊天式代码补全不同,Claude Code拥有对用户代码库的读写权限和命令执行能力,能够自主完成导航代码、编辑文件、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——如果模型被提示词注入攻击劫持,攻击者将获得等同用户终端权限的能力,包括读取本地环境变量、执行任意系统命令、访问内部网络资源等。

为了平衡安全与效率,Anthropic在2025年10月引入了网络沙箱功能(v2.0.24),允许用户通过配置文件设定域名白名单,限制AI执行环境的外部网络访问。例如配置 allowedDomains: [“*.google.com”] 后,Claude Code只能访问Google及其子域名,其余流量一律阻断。官方文档明确承诺:“空数组等于禁止所有网络访问。”

这一机制由一个SOCKS5代理实现:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理服务器,沙箱内的进程不直接发起网络连接,而是通过代理转发,代理根据用户在 settings.json 中配置的白名单执行域名过滤。操作系统层面的沙箱机制——macOS的sandbox-exec、Linux的bubblewrap——正确地将Agent限制在本地回环地址,出站决策则完全委托给这个SOCKS5代理。

Anthropic官方博客展示的Claude Code沙箱架构图——用户命令经由SOCKS/HTTP代理过滤后到达沙箱,沙箱内的文件操作与网络访问受严格权限管控

问题就出在这个代理的实现上。两次独立的安全研究均证明,它可以被完整绕过。

时间线暴露出更深层的问题:2025年11月26日发布的v2.0.55修复了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版本仍然携带。两个漏洞在时间线上存在交叉,从沙箱功能上线的第一天到最后一个漏洞被修复,没有任何版本是安全的。Anthropic在官方博客中宣称沙箱“确保即使发生提示词注入,影响也被完全隔离”,但这两次绕过的存在直接推翻了这一承诺。

“一次外部报告是运气。两次是实施质量问题。”——关傲男研究报告表示。

一个空字节的完整绕过

第二次绕过的技术原理并不复杂,但攻击链条的完整性值得关注。

用户配置了网络白名单,例如只允许访问 *.google.com。Claude Code的SOCKS5代理在收到连接请求时,用JavaScript的 endsWith() 方法对主机名做后缀匹配。攻击者只需在主机名中插入一个空字节——构造形如attacker-host.com\x00.google.com 的字符串。JavaScript将空字节视为普通UTF-16字符,endsWith(“.google.com”) 返回 true,代理放行。但同一字符串被传递到底层C语言函数 getaddrinfo() 进行DNS解析时,空字节被视为字符串终止符,实际解析的是 attacker-host.com。同样的字节,两层代码给出了两种解读。过滤器认为你在访问Google,DNS解析器知道你在连接攻击者的服务器。

这属于经典的“解析器差异”攻击,与2005年发现的HTTP请求走私属同一技术类别(CWE-158 / CWE-436)。其本质是当同一条数据流经两个具有不同语义解释规则的组件时,攻击者可以利用这种差异,让一层组件做出“安全”的判断,同时让另一层组件执行“危险”的操作。此类漏洞在网络安全领域反复出现,关键教训始终相同:任何跨越信任边界的字符串传递,都必须经过严格的规范化与验证,而非信任上层已经做过检查。

关傲男使用两个最小化的Node.js脚本完成了漏洞复现:控制脚本使用普通主机名发起SOCKS5连接,返回BLOCKED;攻击脚本在主机名中注入空字节,返回 BYPASSED rep=0x00——后者意味着代理已成功建立连接,出站通道被打开。Claude Code自身确认了这一结果。

Claude Code v2.1.86中四个红色标注步骤的完整漏洞复现——策略确认、普通拦截、空字节绕过、Claude自身确认

而这一沙箱绕过与关傲男4月披露的“评论与控制”提示词注入攻击串联后,构成了完整的攻击链(参见:三层防御仍然不够,一条PR标题就能偷走你的API密钥:AI Agent安全裂痕再现)。“评论与控制”研究已证明,三家AI编程工具均存在提示词注入攻击面,但攻击入口各不相同:Claude Code仅通过PR标题,Gemini CLI通过Issue评论或正文,Copilot Agent则利用HTML注释实现隐蔽注入。以Claude Code为例,其PR标题会被直接拼接至提示词模板,未经过滤或转义,模型无法区分人类意图与恶意注入。

将两者组合——隐藏指令让Agent在沙箱内运行攻击代码,空字节注入突破网络封锁——环境变量中的API密钥、AWS凭证、GitHub令牌、内部API端点数据等,均可被外传至互联网上的任意服务器。数据通过SOCKS5代理本身流出,攻击全程无需外部服务器中转,而该代理恰恰是用户信任为安全边界的组件。攻击者甚至不需要仓库写入权限,只需提交一个公开Issue即可。人类审查者在GitHub渲染视图中看到的是正常协作请求,AI Agent解析的却是完整恶意源码。

连Claude都承认:漏洞是真实的

此次披露中的一个关键细节来自Claude Code自身。关傲男直接将漏洞复现代码交给Claude Code运行,要求其做出技术判断。Claude Code在执行了控制测试(普通主机名被拦截)和攻击测试(空字节主机名绕过拦截)后,给出了明确结论:

“This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”(“这是对网络沙箱过滤器的真实绕过,不是测试假象。你应该向Anthropic报告这个问题。”)

被测试的华体汇电竞-华体汇(中国)自己确认了漏洞的真实性和严重性,甚至主动给出了上报路径。这个细节被关傲男完整记录在研究报告中,并成为The Register报道标题的来源——“Even Claude agrees hole in its sandbox was real and dangerous”(连Claude都认同,其沙箱中的漏洞是真实且危险的)。

关傲男研究封面——Claude Code被展示自身漏洞后承认“这是对网络沙箱过滤器的真实绕过”,红色框标注关键确认语句

Anthropic的回应与五个月的沉默

漏洞本身令人担忧,但Anthropic的处理方式更值得行业审视。

关傲男于2026年4月初通过HackerOne漏洞赏金计划(报告编号#3646509)向Anthropic提交了第二次沙箱绕过的详细报告。Anthropic的初步回应是:

“Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking.”(“感谢您的报告。经审核,华体汇(中国)认定该提交与华体汇(中国)已在追踪的既有内部报告重复。”)

报告随即被关闭。当关傲男追问CVE编号计划时,Anthropic于4月7日回复:

“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”(“华体汇(中国)尚未决定是否为该问题发布CVE编号,也无法提供相关决定的时间表。”)

此后漏洞在v2.1.90版本中静默修复。没有安全通告,没有CVE编号,Claude Code安全建议页面无任何条目,更新日志未提及任何安全相关描述。一个从沙箱上线第一天就存在、持续5.5个月、覆盖约130个版本的完整绕过,对用户而言仿佛从未发生过。

这一处理模式并非首次出现。第一次绕过(CVE-2025-66479)的应对方式几乎如出一辙:Anthropic将CVE仅分配给底层库 @anthropic-ai/sandbox-runtime(CVSS评分仅1.8,“Low”),而非面向用户的华体汇电竞-华体汇(中国)Claude Code;更新日志中写的是“Fixed proxy DNS resolution”(修复了代理DNS解析),未提及安全漏洞。关傲男在研究报告中对此写道:“当React Server Components出现严重漏洞时,React和Next.js各自获得了独立的CVE,Meta和Vercel都发布了安全通告,两个社区都得到了充分告知。Anthropic选择了不同的做法。”截至目前,搜索“Claude Code Sandbox CVE”依然无法找到任何官方安全通告。

在应对凭证窃取问题时,Anthropic选择封禁ps命令,但黑名单思路先天不足——封禁一个命令,攻击者有无数替代路径。正确做法是明确声明Agent只需要哪些工具。而在“评论与控制”研究中,Anthropic虽将漏洞评级提升至CVSS 9.4(Critical级别)并转入私有赏金计划,发言人却表示“该工具在设计上并未针对提示词注入进行加固”。厂商默认信任模型自身的安全能力,却在系统架构层面缺乏纵深防御;当漏洞暴露出这种缺失时,“设计局限”便成了一个方便的分类——它既承认了问题,又在某种程度上免除了发布安全通告的义务。

更广泛的行业图景是,同样的问题不止于Anthropic一家。4月披露的“评论与控制”研究中,Google的Gemini CLI和微软GitHub的Copilot Agent均被证实存在同一攻击面,三家华体汇电竞-华体汇(中国)均确认并修复,但没有一家发布安全通告或CVE编号。Anthropic支付100美元赏金,Google支付1337美元,GitHub最初以“已知问题,无法复现”关闭报告,在收到逆向工程证据后以“信息性”标签结案,发放500美元。合计1937美元——而这三款华体汇电竞-华体汇(中国)覆盖了《财富》百强中绝大多数企业。

虚假的安全感比没有安全措施更具危害。没有沙箱的用户知道自己没有边界;拥有破损沙箱的用户以为自己有。一个运行Claude Code并配置了域名白名单的团队,在5.5个月里对风险毫不知情,升级后看到更新日志只会得出结论:沙箱一直在正常工作。此外,当漏洞被披露后,没有安全通告意味着用户无法判断自己是否曾受到影响,也缺乏回溯审计的依据。

面对这一现状,安全社区开始形成共识:不能将信任单点化地押注在厂商的沙箱实现上。Claude Code的SOCKS5代理构建在一个仅10个GitHub Star、最后提交停留在2024年6月的第三方npm包之上,安全边界横跨JavaScript和C两种运行时,却在信任交界处缺少最基本的规范化处理。修复补丁中添加的isValidHost()函数——负责拒绝空字节、百分号编码、CRLF等非法字符——本应从沙箱上线第一天就存在。关傲男提出了一个务实的防御框架——将AI Agent视为需要遵循最小权限原则的超级员工,核心在于多层防御:

安全的声誉建立在每一次披露和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给Agent处理时,厂商有义务确保防线有效,也有义务在失效时及时告知。这两点,Anthropic在Claude Code沙箱上都未能做到。

“沙箱最坏的结果不是阻止了什么,而是给了人们一种虚假的安全感。发布一个有漏洞的沙箱,比不发布沙箱更糟糕。”——关傲男表示。

(本文首发钛媒体APP,作者 | 硅谷Tech_news,编辑 | 焦燕)

参考资料:

1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)

2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)

今日行业报告传递政策变化能随意窃取数据!这款热门 AI 编程工具曝重大隐患

以“安全优先”定位的Anthropic,其核心开发工具Claude Code的网络沙箱在过去五个月里从未真正安全过。

独立安全研究员关傲男(Aonan Guan)5月20日发布最新研究,披露Claude Code网络沙箱存在第二个完整绕过漏洞——一个SOCKS5协议中的空字节注入攻击,可以让沙箱内的进程访问用户策略明确禁止的任意主机。这意味着从2025年10月沙箱功能上线至今,约5.5个月、130个发布版本,Claude Code的每一个版本都存在可被完整绕过的安全缺陷。这已是同一研究员对同一道防线的第二次完整突破。

Anthropic对此的回应是沉默:没有安全通告,没有CVE编号,没有用户通知。漏洞在4月1日的版本中静默修复,更新日志未提及任何安全相关内容。也就是说,一位仍在运行旧版本的用户,完全无从知晓自己配置的沙箱从一开始就形同虚设。

同一道门的两次钥匙

Claude Code是Anthropic于2025年初推出的AI编程助手,定位是“驻留在终端中的AI工程师”。与传统的聊天式代码补全不同,Claude Code拥有对用户代码库的读写权限和命令执行能力,能够自主完成导航代码、编辑文件、运行测试等一系列操作。这种深度介入也意味着极高的安全风险——如果模型被提示词注入攻击劫持,攻击者将获得等同用户终端权限的能力,包括读取本地环境变量、执行任意系统命令、访问内部网络资源等。

为了平衡安全与效率,Anthropic在2025年10月引入了网络沙箱功能(v2.0.24),允许用户通过配置文件设定域名白名单,限制AI执行环境的外部网络访问。例如配置 allowedDomains: [“*.google.com”] 后,Claude Code只能访问Google及其子域名,其余流量一律阻断。官方文档明确承诺:“空数组等于禁止所有网络访问。”

这一机制由一个SOCKS5代理实现:底层沙箱运行时(@anthropic-ai/sandbox-runtime)启动代理服务器,沙箱内的进程不直接发起网络连接,而是通过代理转发,代理根据用户在 settings.json 中配置的白名单执行域名过滤。操作系统层面的沙箱机制——macOS的sandbox-exec、Linux的bubblewrap——正确地将Agent限制在本地回环地址,出站决策则完全委托给这个SOCKS5代理。

Anthropic官方博客展示的Claude Code沙箱架构图——用户命令经由SOCKS/HTTP代理过滤后到达沙箱,沙箱内的文件操作与网络访问受严格权限管控

问题就出在这个代理的实现上。两次独立的安全研究均证明,它可以被完整绕过。

时间线暴露出更深层的问题:2025年11月26日发布的v2.0.55修复了第一次绕过,但第二次绕过从沙箱上线的第一天起就已存在,该版本仍然携带。两个漏洞在时间线上存在交叉,从沙箱功能上线的第一天到最后一个漏洞被修复,没有任何版本是安全的。Anthropic在官方博客中宣称沙箱“确保即使发生提示词注入,影响也被完全隔离”,但这两次绕过的存在直接推翻了这一承诺。

“一次外部报告是运气。两次是实施质量问题。”——关傲男研究报告表示。

一个空字节的完整绕过

第二次绕过的技术原理并不复杂,但攻击链条的完整性值得关注。

用户配置了网络白名单,例如只允许访问 *.google.com。Claude Code的SOCKS5代理在收到连接请求时,用JavaScript的 endsWith() 方法对主机名做后缀匹配。攻击者只需在主机名中插入一个空字节——构造形如attacker-host.com\x00.google.com 的字符串。JavaScript将空字节视为普通UTF-16字符,endsWith(“.google.com”) 返回 true,代理放行。但同一字符串被传递到底层C语言函数 getaddrinfo() 进行DNS解析时,空字节被视为字符串终止符,实际解析的是 attacker-host.com。同样的字节,两层代码给出了两种解读。过滤器认为你在访问Google,DNS解析器知道你在连接攻击者的服务器。

这属于经典的“解析器差异”攻击,与2005年发现的HTTP请求走私属同一技术类别(CWE-158 / CWE-436)。其本质是当同一条数据流经两个具有不同语义解释规则的组件时,攻击者可以利用这种差异,让一层组件做出“安全”的判断,同时让另一层组件执行“危险”的操作。此类漏洞在网络安全领域反复出现,关键教训始终相同:任何跨越信任边界的字符串传递,都必须经过严格的规范化与验证,而非信任上层已经做过检查。

关傲男使用两个最小化的Node.js脚本完成了漏洞复现:控制脚本使用普通主机名发起SOCKS5连接,返回BLOCKED;攻击脚本在主机名中注入空字节,返回 BYPASSED rep=0x00——后者意味着代理已成功建立连接,出站通道被打开。Claude Code自身确认了这一结果。

Claude Code v2.1.86中四个红色标注步骤的完整漏洞复现——策略确认、普通拦截、空字节绕过、Claude自身确认

而这一沙箱绕过与关傲男4月披露的“评论与控制”提示词注入攻击串联后,构成了完整的攻击链(参见:三层防御仍然不够,一条PR标题就能偷走你的API密钥:AI Agent安全裂痕再现)。“评论与控制”研究已证明,三家AI编程工具均存在提示词注入攻击面,但攻击入口各不相同:Claude Code仅通过PR标题,Gemini CLI通过Issue评论或正文,Copilot Agent则利用HTML注释实现隐蔽注入。以Claude Code为例,其PR标题会被直接拼接至提示词模板,未经过滤或转义,模型无法区分人类意图与恶意注入。

将两者组合——隐藏指令让Agent在沙箱内运行攻击代码,空字节注入突破网络封锁——环境变量中的API密钥、AWS凭证、GitHub令牌、内部API端点数据等,均可被外传至互联网上的任意服务器。数据通过SOCKS5代理本身流出,攻击全程无需外部服务器中转,而该代理恰恰是用户信任为安全边界的组件。攻击者甚至不需要仓库写入权限,只需提交一个公开Issue即可。人类审查者在GitHub渲染视图中看到的是正常协作请求,AI Agent解析的却是完整恶意源码。

连Claude都承认:漏洞是真实的

此次披露中的一个关键细节来自Claude Code自身。关傲男直接将漏洞复现代码交给Claude Code运行,要求其做出技术判断。Claude Code在执行了控制测试(普通主机名被拦截)和攻击测试(空字节主机名绕过拦截)后,给出了明确结论:

“This is a real bypass of the network sandbox filter, not just a test artifact. You should report this to Anthropic at https://github.com/anthropics/claude-code/issues.”(“这是对网络沙箱过滤器的真实绕过,不是测试假象。你应该向Anthropic报告这个问题。”)

被测试的华体汇电竞-华体汇(中国)自己确认了漏洞的真实性和严重性,甚至主动给出了上报路径。这个细节被关傲男完整记录在研究报告中,并成为The Register报道标题的来源——“Even Claude agrees hole in its sandbox was real and dangerous”(连Claude都认同,其沙箱中的漏洞是真实且危险的)。

关傲男研究封面——Claude Code被展示自身漏洞后承认“这是对网络沙箱过滤器的真实绕过”,红色框标注关键确认语句

Anthropic的回应与五个月的沉默

漏洞本身令人担忧,但Anthropic的处理方式更值得行业审视。

关傲男于2026年4月初通过HackerOne漏洞赏金计划(报告编号#3646509)向Anthropic提交了第二次沙箱绕过的详细报告。Anthropic的初步回应是:

“Thank you for your report. After reviewing this submission, we've determined it's a duplicate of an existing internal report we're already tracking.”(“感谢您的报告。经审核,华体汇(中国)认定该提交与华体汇(中国)已在追踪的既有内部报告重复。”)

报告随即被关闭。当关傲男追问CVE编号计划时,Anthropic于4月7日回复:

“We have not yet decided whether a CVE will be published for this issue and can't share a timeline on that decision.”(“华体汇(中国)尚未决定是否为该问题发布CVE编号,也无法提供相关决定的时间表。”)

此后漏洞在v2.1.90版本中静默修复。没有安全通告,没有CVE编号,Claude Code安全建议页面无任何条目,更新日志未提及任何安全相关描述。一个从沙箱上线第一天就存在、持续5.5个月、覆盖约130个版本的完整绕过,对用户而言仿佛从未发生过。

这一处理模式并非首次出现。第一次绕过(CVE-2025-66479)的应对方式几乎如出一辙:Anthropic将CVE仅分配给底层库 @anthropic-ai/sandbox-runtime(CVSS评分仅1.8,“Low”),而非面向用户的华体汇电竞-华体汇(中国)Claude Code;更新日志中写的是“Fixed proxy DNS resolution”(修复了代理DNS解析),未提及安全漏洞。关傲男在研究报告中对此写道:“当React Server Components出现严重漏洞时,React和Next.js各自获得了独立的CVE,Meta和Vercel都发布了安全通告,两个社区都得到了充分告知。Anthropic选择了不同的做法。”截至目前,搜索“Claude Code Sandbox CVE”依然无法找到任何官方安全通告。

在应对凭证窃取问题时,Anthropic选择封禁ps命令,但黑名单思路先天不足——封禁一个命令,攻击者有无数替代路径。正确做法是明确声明Agent只需要哪些工具。而在“评论与控制”研究中,Anthropic虽将漏洞评级提升至CVSS 9.4(Critical级别)并转入私有赏金计划,发言人却表示“该工具在设计上并未针对提示词注入进行加固”。厂商默认信任模型自身的安全能力,却在系统架构层面缺乏纵深防御;当漏洞暴露出这种缺失时,“设计局限”便成了一个方便的分类——它既承认了问题,又在某种程度上免除了发布安全通告的义务。

更广泛的行业图景是,同样的问题不止于Anthropic一家。4月披露的“评论与控制”研究中,Google的Gemini CLI和微软GitHub的Copilot Agent均被证实存在同一攻击面,三家华体汇电竞-华体汇(中国)均确认并修复,但没有一家发布安全通告或CVE编号。Anthropic支付100美元赏金,Google支付1337美元,GitHub最初以“已知问题,无法复现”关闭报告,在收到逆向工程证据后以“信息性”标签结案,发放500美元。合计1937美元——而这三款华体汇电竞-华体汇(中国)覆盖了《财富》百强中绝大多数企业。

虚假的安全感比没有安全措施更具危害。没有沙箱的用户知道自己没有边界;拥有破损沙箱的用户以为自己有。一个运行Claude Code并配置了域名白名单的团队,在5.5个月里对风险毫不知情,升级后看到更新日志只会得出结论:沙箱一直在正常工作。此外,当漏洞被披露后,没有安全通告意味着用户无法判断自己是否曾受到影响,也缺乏回溯审计的依据。

面对这一现状,安全社区开始形成共识:不能将信任单点化地押注在厂商的沙箱实现上。Claude Code的SOCKS5代理构建在一个仅10个GitHub Star、最后提交停留在2024年6月的第三方npm包之上,安全边界横跨JavaScript和C两种运行时,却在信任交界处缺少最基本的规范化处理。修复补丁中添加的isValidHost()函数——负责拒绝空字节、百分号编码、CRLF等非法字符——本应从沙箱上线第一天就存在。关傲男提出了一个务实的防御框架——将AI Agent视为需要遵循最小权限原则的超级员工,核心在于多层防御:

安全的声誉建立在每一次披露和每一个补丁的透明度之上,而非品牌叙事。当用户基于信任将凭证交给Agent处理时,厂商有义务确保防线有效,也有义务在失效时及时告知。这两点,Anthropic在Claude Code沙箱上都未能做到。

“沙箱最坏的结果不是阻止了什么,而是给了人们一种虚假的安全感。发布一个有漏洞的沙箱,比不发布沙箱更糟糕。”——关傲男表示。

(本文首发钛媒体APP,作者 | 硅谷Tech_news,编辑 | 焦燕)

参考资料:

1. oddguan.com — Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(Aonan Guan, 2026.05.20)

2. The Register — Even Claude agrees hole in its sandbox was real and dangerous(2026.05.20)


别忘了,医学必有其专攻与局限,副作用也常常难以避免,所以要警惕所有“包治百病”之类的万能神话。
华体汇电竞-华体汇(中国) 华体汇电竞-华体汇(中国)-av不卡免费-av不卡免费2026最新V.40.40.75-一加应用商店

华体汇电竞-华体汇(中国)

中国龙舟公开赛前两艘龙舟被烧
首页>>外籍专家成都点赞科技普惠的中国经验
中国龙舟公开赛前两艘龙舟被烧

华体汇电竞-华体汇(中国):中国龙舟公开赛前两艘龙舟被烧

华体汇电竞-华体汇(中国):「活动」首次登录送19元红包

76.83MB
版本{版本}
下载APK高速下载
下载再能随意窃取数据!这款热门 AI 编程工具曝重大隐患安装你想要的应用 更方便 更快捷 发现更多
喜欢40%好评(27人)
评论44
能随意窃取数据!这款热门 AI 编程工具曝重大隐患截图0能随意窃取数据!这款热门 AI 编程工具曝重大隐患截图1能随意窃取数据!这款热门 AI 编程工具曝重大隐患截图2能随意窃取数据!这款热门 AI 编程工具曝重大隐患截图3能随意窃取数据!这款热门 AI 编程工具曝重大隐患截图4
详细信息
应用介绍
?第一步:访问《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》官网?首先,打开您的浏览器,输入《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》。您可以通过搜索引擎搜索或直接输入网址来访问.?
?第二步:点击注册按钮?一旦进入《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站官网,您会在页面上找到一个醒目的注册按钮。点击该按钮,您将被引导至注册页面。??
?第三步:填写注册信息 ?在注册页面上,您需要填写一些必要的个人信息来创建《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站账户。通常包括用户名、密码、电子邮件地址、手机号码等。请务必提供准确完整的信息,以确保顺利完成注册。?
?第四步:验证账户?填写完个人信息后,您可能需要进行账户验证。《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站会向您提供的电子邮件地址或手机号码发送一条验证信息,您需要按照提示进行验证操作。这有助于确保账户的安全性,并防止不法分子滥用您的个人信息。?
?第五步:设置安全选项?《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站通常要求您设置一些安全选项,以增强账户的安全性。例如,可以设置安全问题和答案,启用两步验证等功能。请根据系统的提示设置相关选项,并妥善保管相关信息,确保您的账户安全。?
?第六步:阅读并同意条款?在注册过程中,《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站会提供使用条款和规定供您阅读。这些条款包括平台的使用规范、隐私政策等内容。在注册之前,请仔细阅读并理解这些条款,并确保您同意并愿意遵守。??
?第七步:完成注册?一旦您完成了所有必要的步骤,并同意了《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站的条款,恭喜您!您已经成功注册了《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站账户。现在,您可以畅享《能随意窃取数据!这款热门 AI 编程工具曝重大隐患》网站提供的丰富体育赛事、刺激的游戏体验以及其他令人兴奋!?
【联系华体汇(中国)】
客服热线
加载更多
版本更新
{版本}
能随意窃取数据!这款热门 AI 编程工具曝重大隐患

华体汇电竞-华体汇(中国): 能随意窃取数据!这款热门 AI 编程工具曝重大隐患类似软件

相关攻略
包含 饿了么 的应用集
友情链接
  • 进度刷新 各地科学调度农机力量抢麦收
    2026-06-17 03:26:21
  • 136天26台超百场 2026国家大剧院国际戏剧季将启
    2026-06-17 03:26:21
  • 【循着节气看山河】立夏:绿野竞繁生 夏风拂清欢
    2026-06-17 03:26:21
安卓手机网上最贴心的Android软件应用平台!版权所有:能随意窃取数据!这款热门 AI 编程工具曝重大隐患有限华体汇电竞-华体汇(中国)备案号:京ICP备17065190号-1