Anthropic靜默修補Claude Code沙箱SOCKS5空字節注入漏洞引發揭露爭議
事件摘要
2026年5月22日,iThome 報導資安研究員 Aonan Guan 揭露 Claude Code 網路沙箱(Network Sandbox)存在 SOCKS5 空字節注入漏洞,可繞過白名單限制連往攻擊者控制主機,搭配提示注入(Prompt Injection)可執行惡意程式碼、竊取憑證。
Anthropic 已於 Claude Code 2.1.90(2026年4月)完成修補,但:
- 未發布任何安全公告
- 未申請 CVE 編號
- 版本更新說明中未提及安全修補
- 將研究員 HackerOne 通報列為重複案件
漏洞技術細節
| 項目 | 說明 |
|---|---|
| 類型 | SOCKS5 空字節注入(Null-byte Injection) |
| 機制 | Claude Code 透過 SOCKS5 Proxy 驗證出站主機名稱白名單 |
| 弱點 | Proxy 在主機名稱中插入空字節可繞過白名單比對 |
| 升級 | 搭配 Prompt Injection 可誘使 Claude Code 執行惡意操作 |
| 影響版本 | 2.0.24 ~ 2.1.89(約 130 個版本) |
| 影響期間 | 5 個半月 |
| 修補版本 | 2.1.90(2026年4月) |
可竊取資料
- GitHub 權杖
- 雲端服務憑證(AWS / GCP / Azure)
- API 金鑰
- 原始碼與企業內部資料
資訊揭露爭議
資安研究社群批評 Anthropic 的靜默修補行為違反業界慣例:
- 影響期間長達 5 個半月,數十萬用戶暴露風險中不自知
- 未發 CVE 代表資安工具(如漏洞掃描器、SIEM)無法自動偵測該風險
- 「內部已發現」說法無法驗證,研究員通報應獲應有信用
此事件與 Anthropic 的 AI 安全定位(「安全優先的 AI 公司」)形成落差,引發信任危機。
來源文章
相關頁面
- anthropic — 漏洞責任廠商
- Claude Code沙箱繞過漏洞CVE-2025-66479與SOCKS5空字元注入靜默修補事件 — 相關前期事件(2026-05-21)
- Raindrop AI Workshop開源AI代理本機除錯工具 — 同為 Claude Code 生態相關工具