Anthropic Corrige Falha de Segurança no Claude Code: Bypass de Sandbox Exposto
A Anthropic corrigiu uma vulnerabilidade no Claude Code que permitia a evasão da sandbox, potencialmente expondo dados confidenciais. A falha, descoberta por um pesquisador, permitia que invasores contornassem as restrições de rede e executassem código malicioso.
MundiX News·23 de maio de 2026·3 min de leitura·👁 9 views
Recomendamos a leitura de:
Hacker #324. Diversos com Modelos
Conteúdo da edição
Assinatura do "Hacker"
-60%
No Claude Code, foi encontrada a segunda vulnerabilidade nos últimos meses que permitia contornar a sandbox do agente de IA. Segundo o pesquisador Aonan Guan, o problema poderia ser usado para roubar dados, mas os desenvolvedores da Anthropic corrigiram o bug sem aviso público, boletim de segurança separado ou identificador CVE.
O especialista explica que, em condições normais, a sandbox do Claude Code permite conexões de saída apenas para hosts permitidos através de um proxy de lista de permissões local. No entanto, Guan descobriu um bug no processamento de nomes de host SOCKS5 com um byte nulo.
Assim, se a política permitisse conexões apenas para *.google.com, um invasor poderia enviar um host do tipo attacker.com\x00.google.com. O filtro veria o final .google.com e permitiria a solicitação, enquanto o sistema operacional cortaria a string no byte nulo, e a conexão seria feita para o servidor do invasor.
De acordo com o pesquisador, o problema existia desde outubro de 2025 (desde o lançamento público da sandbox) e permaneceu relevante por cerca de cinco meses e meio, até o lançamento do Claude Code 2.1.90 na primavera de 2026. Ao mesmo tempo, os desenvolvedores da Anthropic afirmaram que encontraram e corrigiram a vulnerabilidade antes mesmo de Guan relatar o bug: o patch apareceu no repositório sandbox-runtime em 27 de março e foi incluído no Claude Code 2.1.88 em 31 de março.
No entanto, agora o pesquisador critica a reação da empresa. Ele enfatiza que os usuários do Claude Code não receberam nenhuma notificação sobre o problema. Além disso, outra vulnerabilidade de bypass da sandbox (CVE-2025-66479) também não foi tratada como um problema do Claude Code, mas como um bug da biblioteca sandbox-runtime. Segundo Guan, esse erro transformou completamente o modo "proibir todo o tráfego de saída" em um modo "permitir tudo".
"Um usuário sem sandbox entende que não há proteção. E um usuário com uma sandbox quebrada tem certeza de que está protegido", observa o pesquisador.
Particularmente perigosa, a nova vulnerabilidade se tornou em combinação com injeções de prompt. Guan já havia descrito anteriormente um ataque de Comment and Control, que afetou o Claude Code Security Review, Gemini CLI Action e GitHub Copilot Agent. Descobriu-se então que os agentes de IA no GitHub Actions podem ser capturados por meio de comentários, descrições de problemas e pull requests especialmente preparados.
Em combinação com o bypass da sandbox, um invasor poderia forçar o Claude a executar instruções maliciosas e transferir quaisquer dados disponíveis para o exterior: tokens do GitHub, credenciais de nuvem, variáveis de ambiente e outras informações de infraestrutura.
Como observa Guan, as empresas estão cada vez mais se limitando a patches "silenciosos" sem emitir boletins de segurança e avisar os usuários. Como resultado, os pesquisadores recebem recompensas no âmbito do bug bounty, os desenvolvedores corrigem o problema, mas os proprietários de sistemas vulneráveis podem nunca saber que trabalharam com uma proteção efetivamente desativada por meses.
O pesquisador escreve que os agentes de IA devem ser tratados mais como funcionários da empresa do que como software comum. Antes de dar ao agente acesso à infraestrutura, você precisa restringir seus direitos, isolar o ambiente e levar em consideração que essa ferramenta é potencialmente capaz de executar instruções de terceiros.
Recomendamos a leitura de:
Hacker #324. Diversos com Modelos
Conteúdo da edição
Assinatura do "Hacker"
-60%
No Claude Code, foi encontrada a segunda vulnerabilidade nos últimos meses que permitia contornar a sandbox do agente de IA. Segundo o pesquisador Aonan Guan, o problema poderia ser usado para roubar dados, mas os desenvolvedores da Anthropic corrigiram o bug sem aviso público, boletim de segurança separado ou identificador CVE.
O especialista explica que, em condições normais, a sandbox do Claude Code permite conexões de saída apenas para hosts permitidos através de um proxy de lista de permissões local. No entanto, Guan descobriu um bug no processamento de nomes de host SOCKS5 com um byte nulo.
Assim, se a política permitisse conexões apenas para *.google.com, um invasor poderia enviar um host do tipo attacker.com\x00.google.com. O filtro veria o final .google.com e permitiria a solicitação, enquanto o sistema operacional cortaria a string no byte nulo, e a conexão seria feita para o servidor do invasor.
De acordo com o pesquisador, o problema existia desde outubro de 2025 (desde o lançamento público da sandbox) e permaneceu relevante por cerca de cinco meses e meio, até o lançamento do Claude Code 2.1.90 na primavera de 2026. Ao mesmo tempo, os desenvolvedores da Anthropic afirmaram que encontraram e corrigiram a vulnerabilidade antes mesmo de Guan relatar o bug: o patch apareceu no repositório sandbox-runtime em 27 de março e foi incluído no Claude Code 2.1.88 em 31 de março.
No entanto, agora o pesquisador critica a reação da empresa. Ele enfatiza que os usuários do Claude Code não receberam nenhuma notificação sobre o problema. Além disso, outra vulnerabilidade de bypass da sandbox (CVE-2025-66479) também não foi tratada como um problema do Claude Code, mas como um bug da biblioteca sandbox-runtime. Segundo Guan, esse erro transformou completamente o modo "proibir todo o tráfego de saída" em um modo "permitir tudo".
"Um usuário sem sandbox entende que não há proteção. E um usuário com uma sandbox quebrada tem certeza de que está protegido", observa o pesquisador.
Particularmente perigosa, a nova vulnerabilidade se tornou em combinação com injeções de prompt. Guan já havia descrito anteriormente um ataque de Comment and Control, que afetou o Claude Code Security Review, Gemini CLI Action e GitHub Copilot Agent. Descobriu-se então que os agentes de IA no GitHub Actions podem ser capturados por meio de comentários, descrições de problemas e pull requests especialmente preparados.
Em combinação com o bypass da sandbox, um invasor poderia forçar o Claude a executar instruções maliciosas e transferir quaisquer dados disponíveis para o exterior: tokens do GitHub, credenciais de nuvem, variáveis de ambiente e outras informações de infraestrutura.
Como observa Guan, as empresas estão cada vez mais se limitando a patches "silenciosos" sem emitir boletins de segurança e avisar os usuários. Como resultado, os pesquisadores recebem recompensas no âmbito do bug bounty, os desenvolvedores corrigem o problema, mas os proprietários de sistemas vulneráveis podem nunca saber que trabalharam com uma proteção efetivamente desativada por meses.
O pesquisador escreve que os agentes de IA devem ser tratados mais como funcionários da empresa do que como software comum. Antes de dar ao agente acesso à infraestrutura, você precisa restringir seus direitos, isolar o ambiente e levar em consideração que essa ferramenta é potencialmente capaz de executar instruções de terceiros.
