기술 설명
보안 연구자 Aonan Guan이 2026년 5월 20일 공개한 바에 따르면, Anthropic Claude Code의 네트워크 샌드박스는 2025년 10월 20일(샌드박스 GA)부터 2026년 4월 1일(v2.1.90)까지 SOCKS5 호스트명 null-byte 주입에 취약했습니다. 이 취약점은 호스트명에 null byte를 주입하여 와일드카드 allowlist 필터(예: `*.google.com`)를 우회할 수 있게 했습니다: `attacker-host.com\x00.google.com`. 필터는 뒤따르는 `.google.com`을 보고 연결을 승인했지만, OS resolver는 null byte에서 잘라내고 `attacker-host.com`으로 연결했습니다. 이는 5개월 내 Claude Code 샌드박스 우회의 두 번째 사건입니다; 첫 번째(CVE-2025-66479, Guan이 2025년 12월에 보고)는 샌드박스가 `allowedDomains: []`을 '모두 허용'으로 해석한 경우였습니다. Anthropic은 2026년 4월 1일 v2.1.90에서 null-byte 주입을 패치했지만 Claude Code에 대한 CVE를 발급하지 않았고, 릴리스 노트에서 수정사항을 언급하지 않았으며, Guan의 HackerOne 보고서를 내부 발견의 중복으로 표시했습니다. Anthropic은 Guan의 보고서를 받기 전에 문제를 식별하고 수정했다고 밝혔습니다.
공격 경로
Claude Code 샌드박스 내에서 실행되는 코드에 영향을 줄 수 있는 공격자(예: Guan이 이전에 공개한 Comment and Control 기법 같은 프롬프트 주입을 통해)는 null byte를 포함한 SOCKS5 호스트명을 만들어 사용자의 구성된 네트워크 allowlist를 우회할 수 있습니다. 이는 샌드박스가 접근할 수 있는 모든 리소스에서의 데이터 탈취를 가능하게 합니다: 자격증명, 소스 코드, 환경 변수, 클라우드 메타데이터, 내부 API, GitHub 토큰. 이 우회는 프롬프트 주입과 결합할 때 특히 위험합니다. 공격자가 Claude Code가 읽는 GitHub 이슈 댓글, 풀 리퀘스트 제목, 또는 리포지토리 README에 지시사항을 숨겨두면 에이전트가 공격자 제어 코드를 실행하게 됩니다. 그러면 null-byte 주입이 사용자가 엄격한 allowlist로 송신을 제한했을 때에도 그 코드가 모든 인터넷 호스트로 데이터를 전송하도록 합니다.
영향받는 시스템
v2.0.24(2025년 10월 20일, 샌드박스 GA)부터 v2.1.89(2026년 3월 31일)까지의 Claude Code 배포로서 와일드카드 allowlist가 있는 네트워크 샌드박스에 의존하는 모든 배포. 이 기간 동안 와일드카드 allowlist를 사용하여 Claude Code를 실행한 자격증명 보유 시스템의 사용자는 해당 기간을 잠재적 탈취 사건으로 취급해야 합니다. 이 취약점은 macOS 및 Linux 배포에 영향을 줍니다. 프로덕션 자격증명, 클라우드 인프라, 또는 내부 네트워크에 접근할 수 있는 시스템에서 개발을 위해 Claude Code를 사용하는 조직은 영향을 받는 기간의 로그 및 접근 패턴을 감사해야 합니다.
완화 방안
Claude Code v2.1.90 이상(2026년 4월 1일 릴리스)으로 업그레이드하세요. 2025년 10월 20일 - 2026년 4월 1일 기간의 네트워크 및 인증 로그에서 Claude Code를 실행하는 시스템의 비정상적인 아웃바운드 연결을 검토하세요. 취약 기간 동안 Claude Code가 접근할 수 있었던 자격증명 및 토큰을 로테이션하세요. 네트워크 접근 권한이 있는 모든 AI 에이전트에 대해 최소 권한 서비스 계정을 구현하세요. 프로덕션에서 AI 코딩 에이전트를 사용하는 조직의 경우, 에이전트 실행 환경을 신뢰할 수 없는 것으로 취급하고 에이전트의 로컬 샌드박스만이 아닌 API 게이트웨이에서 권한 부여를 강제하세요. 에이전트 제공 샌드박스와 독립적인 보조 제어로서 네트워크 계층 모니터링(송신 필터링, DNS 로깅)을 고려하세요.