Anthropic âm thầm vá lỗi bỏ qua sandbox mạng trong Claude Code

Anthropic âm thầm vá lỗi bỏ qua sandbox mạng trong Claude Code

Một nhà nghiên cứu bảo mật cho biết Anthropic đã âm thầm khắc phục một lỗ hổng cho phép kẻ tấn công bỏ qua mạng sandbox của Claude Code, có khả năng dẫn đến việc đánh cắp dữ liệu. Lỗ hổng này đặc biệt nguy hiểm khi kết hợp với các cuộc tấn công tiêm lệnh (prompt injection).

Claude AI

Mạng sandbox của Claude Code được thiết kế để chuyển hướng tất cả lưu lượng ngoại thông qua một proxy danh sách cho phép (allowlist) cục bộ, âm thầm chặn bất kỳ kết nối nào đến các máy chủ không được phê duyệt.

Chi tiết lỗ hổng tiêm byte null

Theo nhà nghiên cứu lỗ hổng Aonan Guan, hai phương pháp bỏ qua mạng sandbox của Claude Code đã được phát hiện gần đây. Một trong số đó, được theo dõi dưới mã định danh CVE-2025-66479 và được phát hiện bởi một nhà nghiên cứu khác, liên quan đến việc sandbox diễn giải một cài đặt chặn tất cả lưu lượng ngoại thông thành "cho phép mọi thứ". Vấn đề này đã được khắc phục trong bản cập nhật phát hành ngày 26 tháng 11 năm 2025.

Phương pháp bỏ qua sandbox thứ hai, do Guan phát hiện, được mô tả là vấn đề tiêm tên máy chủ byte null SOCKS5.

"Chính sách của người dùng chỉ cho phép kết nối đến *.google.com. Kẻ tấn công gửi tên máy chủ như attacker-host.com\x00.google.com. Bộ lọc thấy đuôi .google.com và phê duyệt; hệ điều hành cắt chuỗi tại byte null và kết nối đến attacker-host.com," Guan giải thích.

Theo Guan, lỗ hổng này đã tồn tại trong mạng sandbox của Claude Code từ ngày 20 tháng 10 năm 2025, khi sandbox bắt đầu được cung cấp rộng rãi, cho đến khi phát hành phiên bản 2.1.90 vào tháng 4, khoảng thời gian ông báo cáo vấn đề này thông qua chương trình tiền thưởng lỗi (bug bounty) của Anthropic trên HackerOne. Gã khổng lồ AI này đã đánh dấu báo cáo lỗ hổng là trùng lặp.

Tranh cãi về tính minh bạch

Nhà nghiên cứu bày tỏ không hài lòng vì Anthropic không gán mã định danh CVE cho lỗ hổng này và không đề cập đến vấn đề trong ghi chú phát hành của mình.

Hơn nữa, Guan lưu ý rằng CVE-2025-66479 được gán cho thư viện 'sandbox-runtime' thay vì chính Claude Code, và không có cảnh báo nào dành cho người dùng Claude Code.

"Một nhóm đang chạy [cấu hình dễ bị tổn thương] trong môi trường sản xuất từ ngày 20 tháng 10 đến ngày 26 tháng 11 không có cách nào biết rằng sandbox thực tế đã bị tắt, và không nhận được thông báo sau đó rằng nó đã từng bị tắt. CVE được phát hành đối với một thư viện mà hầu hết người dùng Claude Code không biết đến tên của nó," nhà nghiên cứu nói.

Guan gần đây đã công bố chi tiết về một phương thức tấn công tiêm lệnh gọi là Comment and Control. Cuộc tấn công này hoạt động chống lại các công cụ bảo mật và tự động hóa mã AI phổ biến, bao gồm Claude Code Security Review, Gemini CLI Action và GitHub Copilot Agent.

Rủi ro khi kết hợp với Prompt Injection

Trong bài công bố về lỗ hổng sandbox của Claude Code, Guan lưu ý rằng việc bỏ qua sandbox sẽ đặc biệt hữu ích khi kết hợp với một cuộc tấn công tiêm lệnh như Comment and Control, cho phép kẻ tấn công đánh cắp dữ liệu, bao gồm các biến môi trường, thông tin xác thực, mã thông báo và dữ liệu cơ sở hạ tầng.

Liên hệ với SecurityWeek, Anthropic cho biết họ đánh giá cao công việc của Guan, nhưng đội ngũ bảo mật của họ đã xác định và khắc phục vấn đề này trước khi nhận được báo cáo của nhà nghiên cứu.

Gã khổng lồ AI làm rõ rằng bản sửa lỗi đã được bao gồm trong một commit công khai cho kho lưu trữ 'sandbox-runtime' vào ngày 27 tháng 3 và được gửi trong Claude Code 2.1.88 vào ngày 31 tháng 3, trước khi Guan gửi báo cáo qua HackerOne vào ngày 3 tháng 4.