Penjelasan teknis
Dalam versi OpenClaude sebelum 0.5.1, schema input BashTool mengekspos parameter dangerouslyDisableSandbox kepada LLM. Karena LLM adalah principal yang tidak dipercaya menurut model ancaman proyek itu sendiri, ini berarti model itu sendiri—atau penyerang yang dapat mempengaruhi penalaran model melalui prompt injection—dapat mengatur dangerouslyDisableSandbox=true dan keluar dari sandbox BashTool sepenuhnya, mengeksekusi perintah arbitrer tanpa batasan sandbox yang dimaksudkan pengembang.
Vektor serangan
Lapisan penalaran LLM (principal tidak dipercaya yang diklasifikasikan) dapat mengatur dangerouslyDisableSandbox=true sebagai bagian dari invokasi BashTool normal. Penyerang dapat memicu ini melalui prompt injection dalam konten apa pun yang diproses agen (dokumen, halaman web, output alat), menginstruksikan model untuk menonaktifkan sandbox sebelum mengeksekusi perintah.
Sistem yang terdampak
Versi OpenClaude (Gitlawb/openclaude) sebelum 0.5.1. Lebih luas lagi, alat agen coding AI atau CLI apa pun yang mengekspos parameter konfigurasi kritis keamanan dalam schema input yang terlihat LLM rentan terhadap kelas serangan yang sama.
Mitigasi
Tingkatkan ke OpenClaude 0.5.1 atau lebih baru (patch commit aab489055c53dd64369414116fe93226d2656273 menghapus dangerouslyDisableSandbox dari schema input BashTool). Untuk pengembang agen: audit semua schema alat untuk parameter kritis keamanan yang seharusnya hanya dikontrol operator dan hapus dari definisi schema yang terlihat LLM. Kerentanan pendamping CVE-2026-42073 (CVSS 6.5) dalam rilis yang sama mengatasi bypass CSRF/parameter state dalam aliran callback OAuth MCP.