‏آنتروپیک یک آسیب‌پذیری مخفیانه در Claude Code رو وصله کرد

۱۶ خردادامنیت

محقق امنیتی Aonan Guan یه آسیب‌پذیری در سندباکس شبکه‌ای Claude Code کشف کرده که امکان دور زدن فیلتر ترافیک خروجی رو فراهم می‌کرد. این باگ از نوع null-byte injection در پروتکل SOCKS5 بود و می‌تونست برای سرقت اطلاعات حساس مثل توکن‌ها و متغیرهای محیطی استفاده بشه. آنتروپیک ادعا می‌کنه قبل از گزارش محقق، این مشکل رو شناسایی و رفع کرده بود.

این محتوا به‌صورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه می‌شود و مسئولیت استفاده از آن به‌عهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید

خلاصهٔ کامل‌تر

سندباکس شبکه‌ای Claude Code طوری طراحی شده که تمام ترافیک خروجی رو از طریق یه پروکسی محلی با لیست مجاز عبور بده و اتصال به هاست‌های غیرمجاز رو مسدود کنه. اما محقق امنیتی Aonan Guan یه راه دور زدن این مکانیزم پیدا کرده که ریشه‌اش در نحوه پردازش نام هاست‌ها توی پروتکل SOCKS5 بود.

حمله به این شکل کار می‌کرد: فرض کن سیاست کاربر فقط اتصال به *.google.com رو مجاز کرده. مهاجم یه هاست‌نیم مثل attacker-host.com\x00.google.com می‌فرسته. فیلتر سندباکس پسوند .google.com رو می‌بینه و اتصال رو تأیید می‌کنه، اما سیستم‌عامل رشته رو سر null byte (\x00) قطع می‌کنه و در واقع به attacker-host.com وصل می‌شه.

این آسیب‌پذیری از ۲۰ اکتبر ۲۰۲۵، زمانی که سندباکس به‌صورت عمومی منتشر شد، تا نسخه ۲.۱.۹۰ در آوریل ۲۰۲۶ وجود داشت. Guan این باگ رو از طریق برنامه bug bounty آنتروپیک در HackerOne گزارش داد، اما گزارشش به‌عنوان تکراری علامت‌گذاری شد.

آنتروپیک می‌گه که تیم امنیتی‌اش این مشکل رو قبل از گزارش Guan شناسایی کرده و اصلاحیه رو در کامیت ۲۷ مارس در مخزن عمومی sandbox-runtime منتشر کرده بود. نسخه Claude Code 2.1.88 که در ۳۱ مارس منتشر شد این رفع رو داشت، در حالی که Guan گزارشش رو در ۳ آوریل فرستاده بود.

نکته مهمی که Guan بهش اعتراض داره اینه که آنتروپیک هیچ CVE مستقلی برای این آسیب‌پذیری صادر نکرده، در release notes هم چیزی ننوشته، و اطلاع‌رسانی عمومی به کاربران Claude Code انجام نداده. او می‌گه تیم‌هایی که از اکتبر تا نوامبر ۲۰۲۵ با کانفیگ آسیب‌پذیر کار می‌کردند، هیچ راهی برای فهمیدن این موضوع نداشتند که سندباکس‌شون عملاً غیرفعال بوده.

این باگ به‌تنهایی هم خطرناک بود، اما Guan اشاره می‌کنه ترکیب اون با حملات prompt injection مثل روش «Comment and Control» که قبلاً معرفی کرده بود، می‌تونست امکان سرقت اطلاعات بسیار حساسی مثل environment variables، credentials، توکن‌ها و داده‌های زیرساخت رو فراهم کنه.

نکات کلیدی:

باگ از نوع SOCKS5 null-byte injection بود که فیلتر لیست مجاز رو دور می‌زد
از ۲۰ اکتبر ۲۰۲۵ تا آوریل ۲۰۲۶ در Claude Code وجود داشت
آنتروپیک ادعا می‌کنه قبل از گزارش محقق، خودش مشکل رو کشف و برطرف کرده بود
هیچ CVE مستقل یا اطلاع‌رسانی عمومی به کاربران صورت نگرفت
ترکیب این آسیب‌پذیری با حملات prompt injection می‌تونست منجر به سرقت داده‌های حساس بشه

منبع: https://www.securityweek.com/anthropic-silently-patches-claude-code-sandbox-bypass/

اشتراک‌گذاری:

خلاصهٔ کامل‌تر

اخبار مرتبط