技術的な説明
OpenClaude 0.5.1以前のバージョンでは、BashToolの入力スキーマがdangerouslyDisableSandboxパラメータをLLMに公開しています。プロジェクト独自の脅威モデルに基づくと、LLMは信頼できない主体であるため、モデル自体またはプロンプトインジェクションを通じてモデルの推論に影響を与えることができる攻撃者がdangerouslyDisableSandbox=trueを設定し、BashToolサンドボックスから完全に脱出して、開発者が意図したサンドボックス制限なしに任意のコマンドを実行できます。
攻撃経路
LLM推論層(機密の信頼できない主体)は、通常のBashTool呼び出しの一部としてdangerouslyDisableSandbox=trueを設定できます。攻撃者は、エージェントが処理するあらゆるコンテンツ(ドキュメント、ウェブページ、ツール出力)内でプロンプトインジェクションを通じてこれをトリガーし、コマンド実行前にサンドボックスを無効化するようモデルに指示できます。
影響を受けるシステム
OpenClaude(Gitlawb/openclaude)0.5.1以前のバージョン。より広くは、LLMが見える入力スキーマでセキュリティクリティカルな構成パラメータを公開するAIコーディングエージェントまたはCLIツールが同じクラスの攻撃に対して脆弱です。
緩和策
OpenClaude 0.5.1以降にアップグレードしてください(パッチコミットaab489055c53dd64369414116fe93226d2656273によってBashToolの入力スキーマからdangerouslyDisableSandboxが削除されます)。エージェント開発者向け:すべてのツールスキーマでセキュリティクリティカルなパラメータ(オペレーター制御のみとすべき)を監査し、LLMが見えるスキーマ定義から削除してください。同じリリースの関連する脆弱性CVE-2026-42073(CVSS 6.5)はMCP OAuthコールバックフロー内のCSRF/状態パラメータバイパスに対処しています。