기술 설명
OpenClaude 0.5.1 이전 버전에서는 BashTool 입력 스키마가 dangerouslyDisableSandbox 파라미터를 LLM에 노출합니다. 프로젝트의 위협 모델에 따르면 LLM이 신뢰할 수 없는 주체이기 때문에, 모델 자체 또는 프롬프트 주입을 통해 모델의 추론에 영향을 미칠 수 있는 공격자가 dangerouslyDisableSandbox=true를 설정하여 BashTool 샌드박스를 완전히 탈출하고 개발자가 의도한 샌드박스 제한 없이 임의 명령을 실행할 수 있습니다.
공격 경로
LLM 추론 계층(분류된 신뢰할 수 없는 주체)이 일반적인 BashTool 호출의 일부로 dangerouslyDisableSandbox=true를 설정할 수 있습니다. 공격자는 에이전트가 처리하는 모든 콘텐츠(문서, 웹 페이지, 도구 출력)의 프롬프트 주입을 통해 이를 트리거하고, 모델에 명령 실행 전에 샌드박스를 비활성화하도록 지시할 수 있습니다.
영향받는 시스템
OpenClaude (Gitlawb/openclaude) 0.5.1 이전 버전. 더 광범위하게, LLM이 볼 수 있는 입력 스키마에 보안이 중요한 설정 파라미터를 노출하는 모든 AI 코딩 에이전트 또는 CLI 도구는 동일한 종류의 공격에 취약합니다.
완화 방안
OpenClaude 0.5.1 이상으로 업그레이드합니다(패치 커밋 aab489055c53dd64369414116fe93226d2656273은 BashTool 입력 스키마에서 dangerouslyDisableSandbox를 제거합니다). 에이전트 개발자의 경우: 운영자만 제어해야 하는 보안이 중요한 파라미터가 있는 모든 도구 스키마를 감사하고 LLM이 볼 수 있는 스키마 정의에서 제거합니다. 동일한 릴리스의 관련 취약점 CVE-2026-42073 (CVSS 6.5)은 MCP OAuth 콜백 흐름의 CSRF/상태 파라미터 우회를 해결합니다.