Anthropic Diam-diam Menambal Celah Bypass Sandbox Kode Claude; Bypass Kedua dalam Lima Bulan, Tidak Ada CVE yang Dikeluarkan

Peneliti keamanan Aonan Guan mengungkapkan pada 20 Mei 2026 bahwa sandbox jaringan Claude Code milik Anthropic rentan terhadap injeksi null-byte hostname SOCKS5 dari 20 Oktober 2025 (sandbox GA) hingga 1 April 2026 (v2.1.90). Kerentanan ini memungkinkan penyerang untuk memotong filter allowlist wildcard (misalnya, `*.google.com`) dengan menyuntikkan null byte ke dalam hostname: `attacker-host.com\x00.google.com`. Filter melihat `.google.com` di akhir dan menyetujui koneksi, tetapi OS resolver memotong pada null byte dan terhubung ke `attacker-host.com`. Ini adalah bypass sandbox Claude Code kedua dalam lima bulan; yang pertama (CVE-2025-66479, dilaporkan oleh Guan pada Desember 2025) melibatkan sandbox menginterpretasi `allowedDomains: []` sebagai 'izinkan segalanya' bukan 'blokir semua.' Anthropic menambal injeksi null-byte di v2.1.90 pada 1 April 2026, tetapi tidak mengeluarkan CVE untuk Claude Code, tidak menyebutkan perbaikan di catatan rilis, dan menandai laporan HackerOne Guan sebagai duplikat dari temuan internal. Anthropic menyatakan telah mengidentifikasi dan memperbaiki masalah sebelum menerima laporan Guan.

Penyerang yang dapat mempengaruhi kode yang dijalankan di dalam sandbox Claude Code (misalnya, melalui prompt injection seperti teknik Comment and Control yang sebelumnya Guan ungkapkan) dapat membuat hostname SOCKS5 dengan null byte untuk memotong allowlist jaringan yang dikonfigurasi pengguna. Ini memungkinkan penggalian data dari sumber daya apa pun yang dapat diakses sandbox: kredensial, kode sumber, variabel lingkungan, metadata cloud, API internal, dan token GitHub. Bypass ini sangat berbahaya ketika digabungkan dengan prompt injection, di mana penyerang menyembunyikan instruksi dalam komentar masalah GitHub, judul pull request, atau README repositori yang dibaca Claude Code, menyebabkan agen menjalankan kode yang dikontrol penyerang. Injeksi null-byte kemudian memungkinkan kode itu mengirim data ke host internet mana pun, bahkan ketika pengguna telah membatasi egress ke allowlist yang ketat.

Penerapan apa pun dari Claude Code dari v2.0.24 (20 Oktober 2025, sandbox GA) hingga v2.1.89 (31 Maret 2026) yang mengandalkan sandbox jaringan dengan allowlist wildcard. Pengguna yang menjalankan Claude Code dengan allowlist wildcard pada sistem yang membawa kredensial selama jendela ini harus memperlakukan periode sebagai potensi peristiwa penggalian. Kerentanan ini memengaruhi penerapan macOS dan Linux. Organisasi yang menggunakan Claude Code untuk pengembangan pada sistem dengan akses ke kredensial produksi, infrastruktur cloud, atau jaringan internal harus mengaudit log dan pola akses untuk periode yang terpengaruh.

Tingkatkan ke Claude Code v2.1.90 atau yang lebih baru (dirilis 1 April 2026). Tinjau log jaringan dan autentikasi untuk periode 20 Oktober 2025 - 1 April 2026 untuk koneksi keluar yang anomali dari sistem yang menjalankan Claude Code. Putar kredensial dan token yang dapat diakses oleh Claude Code selama jendela kerentanan. Terapkan akun layanan least-privilege untuk agen AI apa pun dengan akses jaringan. Untuk organisasi yang menggunakan agen pengkodean AI dalam produksi, perlakukan lingkungan eksekusi agen sebagai tidak terpercaya dan berlakukan otorisasi di gateway API, bukan hanya di sandbox lokal agen. Pertimbangkan pemantauan lapisan jaringan (penyaringan egress, pencatatan DNS) sebagai kontrol sekunder independen dari sandbox yang disediakan agen.