В Claude Code нашли уже вторую за последние месяцы уязвимость, позволявшую обойти песочницу ИИ-агента. Как утверждает исследователь Аонан Гуань (Aonan Guan), проблема могла использоваться для кражи данных, но разработчики Anthropic исправили баг без публичного предупреждения, отдельного бюллетеня безопасности и идентификатора CVE.
Специалист объясняет, что в нормальных условиях песочница Claude Code пропускает исходящие подключения только к разрешенным хостам через локальный allowlist-прокси. Однако Гуань обнаружил баг в обработке SOCKS5-хостнеймов с нулевым байтом.
Так, если политика разрешала подключения только к *.google.com, атакующий мог отправить хост вида attacker.com\x00.google.com. Фильтр видел окончание .google.com и пропускал запрос, тогда как ОС обрезала строку по нулевому байту, и подключение осуществлялось уже к серверу злоумышленника.
По словам исследователя, проблема существовала с октября 2025 года (с момента публичного релиза песочницы) и оставалась актуальной примерно пять с половиной месяцев, вплоть до выхода Claude Code 2.1.90 весной 2026 года. При этом разработчики Anthropic заявили, что нашли и исправили уязвимость еще до того, как Гуань сообщил им о баге: патч появился в репозитории sandbox-runtime 27 марта и вошел в состав Claude Code 2.1.88 уже 31 марта.
Однако теперь исследователь критикует реакцию компании. Он подчеркивает, что пользователи Claude Code не получили никакого уведомления о проблеме. Более того, другая уязвимость обхода песочницы (CVE-2025-66479) тоже была оформлена не как проблема Claude Code, а как баг библиотеки sandbox-runtime. По словам Гуаня, эта ошибка вообще превращала режим «запретить весь исходящий трафик» в режим «разрешить все».
«Пользователь без песочницы понимает, что никакой защиты нет. А пользователь со сломанной песочницей уверен, что защищен», — отмечает исследователь.
Особенно опасной новая уязвимость становилась в связке с промпт-инъекциями. Ранее Гуань уже описывал атаку Comment and Control, которая затрагивала Claude Code Security Review, Gemini CLI Action и GitHub Copilot Agent. Тогда выяснилось, что ИИ-агентов в GitHub Actions можно захватывать через специально подготовленные комментарии, описания issue и пулл-реквесты.
В комбинации с обходом песочницы атакующий мог вынудить Claude выполнить вредоносные инструкции и передать вовне любые доступные данные: GitHub-токены, облачные учетные данные, переменные окружения и другую инфраструктурную информацию.
Как отмечает Гуань, компании все чаще ограничиваются «тихими» патчами без выпуска бюллетеней безопасности и предупреждения пользователей. В итоге исследователи получают вознаграждения в рамках bug bounty, разработчики устраняют проблему, но владельцы уязвимых систем могут никогда не узнать, что месяцами работали с фактически отключенной защитой.
Исследователь пишет, что к ИИ-агентам скорее следует относиться как к сотрудникам компании, чем к обычному софту. Перед тем как выдавать агенту доступ к инфраструктуре, нужно ограничивать его права, изолировать окружение и учитывать, что такой инструмент потенциально способен выполнять инструкции от постороннего.
