Anthropic悄悄修補Claude Code 2個沙箱繞過漏洞，研究人員批評陷用戶於風險中

研究人員說明，Claude Code存在兩項沙箱漏洞，讓攻擊者透過提示詞注入（Prompt Injection）等手段來突破沙箱限制，強迫Claude Code執行惡意程式碼，將敏感資料（如API金鑰、原始碼、環境變數）外傳至外部伺服器。

第一個沙箱漏洞是CVE-2025-66479於去年10月爆出。該漏洞位於Anthropic Sandbox Runtime。Sandbox Runtime是輕量沙箱工具，可無需容器在OS層針對任何程序實行檔案系統及網路限制。這漏洞出現於沙箱邏輯中，當用戶的沙箱政策原本未配置任何允許的網域（即禁止所有連線），本漏洞使Sandbox Runtime無法執行網路沙箱，反而允許沙箱中的程式碼得以對外發送網路請求。

第二項漏洞為SOCKS5主機名稱空字元注入漏洞（hostname null-byte injection）。使用者政策雖設定「僅允許*.google.com」網域作為白名單，但攻擊者或惡意程式可發送包含空字元（\x00）的偽裝主機名，如attacker-host.com\x00.google.com，來繞過任何白名單限制。第二項漏洞並未給予編號。

研究人員指出，從2025年10月20日的正式版Claude Code v2.0.24中，其沙箱元件就同時存在這二項漏洞。2025年11月26日該公司針對CVE-2025-66479釋出v2.0.55版修補（根據NIST官方資料庫，Anthropic釋出Claude Code 0.0.16版解決了本漏洞），卻只修補了CVE-2025-66479，使仍存有第二項漏洞的版本部署給用戶。2026年4月Anthropic釋出Claude Code v2.1.90解決第二項漏洞。直到本月，Anthropic才公佈第二項漏洞的存在。

研究人員批評Anthropic自始自終保持緘默，讓眾多用戶陷於資安風險。他指出，二個漏洞都是由Anthropic暗中修補，未曾發出Claude Code產品資安公告（Security Advisory）。尤其是第二項漏洞，影響了從去年10月的2.0.24版到最新的2.1.89版5個半月的130多個版本。在整個修補過程中，Anthropic不僅從未發布公告，也沒有變更日誌說明（changelog note），只有v2.1.9發佈通知中輕描淡寫地描述為「內部修正（internal fixes）」。

而且第二項漏洞始終未獲得漏洞編號。唯有第一項漏洞CVE-2025-66479留有NIST漏洞資料庫或GitHub Advisory Database紀錄，使得仰賴CVE自動監測系統的企業無從得知風險。此外，公司團隊也不曾主動通知受影響的用戶，5個半月以來，使用白名單的用戶未曾接獲電子郵件警告、Banner或金鑰變更建議。

研究人員建議Claude Code用戶升級到2.1.90以後版本。在去年10月20日以後使用白名單的用戶，應檢查SOCKS中介的對外連線日誌（log），並且輪換所有可觸及的憑證。