Anthropic靜默修補Claude Code沙箱SOCKS5空字節注入漏洞引發揭露爭議

事件摘要

2026年5月22日,iThome 報導資安研究員 Aonan Guan 揭露 Claude Code 網路沙箱(Network Sandbox)存在 SOCKS5 空字節注入漏洞,可繞過白名單限制連往攻擊者控制主機,搭配提示注入(Prompt Injection)可執行惡意程式碼、竊取憑證。

Anthropic 已於 Claude Code 2.1.90(2026年4月)完成修補,但:

  • 未發布任何安全公告
  • 未申請 CVE 編號
  • 版本更新說明中未提及安全修補
  • 將研究員 HackerOne 通報列為重複案件

漏洞技術細節

項目說明
類型SOCKS5 空字節注入(Null-byte Injection)
機制Claude Code 透過 SOCKS5 Proxy 驗證出站主機名稱白名單
弱點Proxy 在主機名稱中插入空字節可繞過白名單比對
升級搭配 Prompt Injection 可誘使 Claude Code 執行惡意操作
影響版本2.0.24 ~ 2.1.89(約 130 個版本)
影響期間5 個半月
修補版本2.1.90(2026年4月)

可竊取資料

  • GitHub 權杖
  • 雲端服務憑證(AWS / GCP / Azure)
  • API 金鑰
  • 原始碼與企業內部資料

資訊揭露爭議

資安研究社群批評 Anthropic 的靜默修補行為違反業界慣例:

  • 影響期間長達 5 個半月,數十萬用戶暴露風險中不自知
  • 未發 CVE 代表資安工具(如漏洞掃描器、SIEM)無法自動偵測該風險
  • 「內部已發現」說法無法驗證,研究員通報應獲應有信用

此事件與 Anthropic 的 AI 安全定位(「安全優先的 AI 公司」)形成落差,引發信任危機。

來源文章

相關頁面