Claude Code Sandbox-Lücke gefährdet Benutzerdaten und Quellcode

Die Schwachstelle, eine SOCKS5-Hostname-Null-Byte-Injektion, betraf jede Version v2.0.24 (Sandbox-GA am 20. Oktober 2025) bis v2.1.89, was etwa 130 veröffentlichte Versionen über einen Zeitraum 5,5 Monaten umfasst. Anthropic schloss die Lücke stillschweigend in Version v2.1.90 am 1.

April 2026, ohne in den Release-Notes auf eine Sicherheitskorrektur hinzuweisen.

Dies folgt auf den ersten Sandbox-Bypass (CVE-2025-66479), bei dem die Konfiguration: [] dazu führte, dass Claude Code die Absicht, den gesamten ausgehenden Verkehr zu blockieren, fälschlicherweise als „alles erlauben" interpretierte, da eine fehlerhafte Prüfung allowedDomains.length > 0 vorlag. Dieser Fehler wurde stillschweigend in Version 2.0.55 am 26.

Sicherheitslage und Risiko

November 2025 behoben – in derselben Veröffentlichung, die die SOCKS5-Nullbyte-Injektion weiterhin enthielt. oddguan+1 Netzwerk-Sandbox-Schwachstelle nutzt einen Parser-Unterschied zwischen JavaScript und der darunterliegenden C-Bibliothek (libc) aus.

Die Sandbox ausgehenden Verkehr über einen SOCKS5-Proxy, der Hostnamen gegen die Erlaubnisliste des Nutzers (z. B. *.google.com) mittels einer JavaScript-Prüfung mit endsWith() validiert. Ein Angreifer erstellt einen Hostnamen wie attacker-host.com\x00.google.com.

Der JavaScript-Filter erkennt den abschließenden.google.com-Teil und genehmigt die Verbindung, während libc's getaddrinfo() am Nullbyte (\x00) abbricht und attacker-host.com auflöst, was zum blockierten Host führt. (theblockedhost.theregister+1) Der anfällige Code in sandbox-runtime <= 0.0.42 übermittelte rohe DOMAINNAME-Bytes direkt SOCKS5 CONNECT-Anfrage an den Matcher, ohne Ablehnung, ohne Längenbegrenzung und ohne Charakter-Whitelist.

Sicherheitslage und Risiko

Die Korrektur in sandbox-runtime 0.0.43 führte einen isValidHost()-Wrapper ein, der \x00, %, CRLF und andere nicht-DNS-konforme Zeichen vor der Ausführung des Matchers ablehnt. Der Umgehungsweg wird besonders gefährlich, wenn er mit Prompt-Injection-Angriffen kombiniert wird.

Eine bösartige Anweisung, die in einem GitHub-Issue-Kommentar, einer README-Datei oder einer Dokumentationsdatei versteckt ist und, kann dazu führen, dass Code unter Kontrolle des Angreifers innerhalb des Sandboxes ausgeführt wird.

Bis zur Version 2.1.90 konnte dieser Code den Umgehungsschritt ausnutzen, um stumm folgende Daten zu exfiltrieren: AWS-Zertifikate aus ~/.aws/, GitHub-Token aus ~/.config/gh/, Metadaten 169.254.169.254, interne API-Endpunkte sowie Ressourcen des Unternehmens-Intranets.

Technischer Hintergrund

Umweltvariablen und Modell-API-Schlüssel wurden alle über rohen SOCKS5 übertragen und umgingen dabei die standardmäßigen HTTP-Ausgangsprotokolle. Anthropic hat Guan's HackerOne-Bericht (#3646509) als Duplikat geschlossen und hatte bis zum 10. Mai 2026 kein CVE für den SOCKS5-Umgehungsschritt weder im NVD noch in der GitHub Advisory Database veröffentlicht.

CVE-2025-66479 bleibt das einzige dokumentierte CVE für einen der Sandbox-Funde und wurde gegen sandbox-runtime ausgestellt, nicht gegen Claude Code selbst. Die Seite für Sicherheitsmitteilungen zu Claude Code listet keine Sandbox-Schwachstellen auf.

Benutzer sollten Claude Code unverzüglich auf Version 2.1.90 oder höher aktualisieren (zur Überprüfung: claude --version). Jeder, der zwischen dem 20.

Oktober 2025 und dem Upgrade-Termin eine

Oktober 2025 und dem Upgrade-Termin eine Wildcard-Whitelist auf einem System mit Zugangsdaten verwendet hat, sollte die Logs für ausgehenden SOCKS-vermittelten Verkehr überprüfen und alle erreichbaren Zugangsdaten rotieren.

Wie der Forscher feststellt, ist der Vendor-Sandbox als zusätzliche Sicherheitsebene (Defense-in-Depth) zu betrachten, nicht als Sicherheitsgrenze; Ausgehende Kontrollen müssen auf Netzwerkebene oder Hypervisor-Ebene außerhalb des Einflusses des Agents durchgesetzt werden.