Thought Leadership
Anthropic hat eine Schwachstelle in Claude Code behoben. Der Sandbox-Bypass ermöglichte in Kombination mit Prompt Injection den Abfluss sensibler Daten.
Das KI-Forschungsunternehmen Anthropic hat eine kritische Sicherheitslücke in der Netzwerk-Sandbox seines Entwicklerwerkzeugs Claude Code geschlossen. Die Behebung der Schwachstelle erfolgte ohne offizielle Ankündigung oder Erwähnung in den Versionshinweisen (Silent Patch). Nach Angaben des IT-Sicherheitsforschers Aonan Guan, der die Lücke unabhängig analysierte, erlaubte der Fehler das systematische Umgehen von Netzwerkbeschränkungen. In Kombination mit einer sogenannten Prompt-Injection-Attacke hätten Angreifer diese Schwachstelle ausnutzen können, um sensible Unternehmensdaten wie Umgebungsvariablen, Zugangsdaten, Passwörter und Infrastruktur-Token unbemerkt aus geschützten Entwicklungsumgebungen auszuschleusen.
SOCKS5-Null-Byte-Injektion in Claude Code
Die Netzwerk-Sandbox von Claude Code ist architektonisch darauf ausgelegt, jeglichen ausgehenden Datenverkehr (Outbound Traffic) über einen lokalen Allowlist-Proxy zu leiten. Verbindungen zu nicht explizit vom Administrator genehmigten Servern (Hosts) werden von diesem Proxy standardmäßig blockiert. Guan entdeckte jedoch eine fundamentale Schwachstelle in der Verarbeitung von SOCKS5-Hostnamen, die auf einer unzureichenden Bereinigung von Null-Bytes (\x00) beruhte.
Das Filter- und Betriebssystemverhalten lief bei einem gezielten Angriff wie folgt ab:
- Sicherheitsrichtlinie: Die Konfiguration des Nutzers erlaubt ausschließlich Verbindungen zu einer bestimmten Domain, beispielsweise
*.google.com. - Eingabe des Angreifers: Der Angreifer konstruiert einen manipulierten Hostnamen, der ein Null-Byte enthält, gefolgt von der erlaubten Domain, wie etwa
angreifer-server.com\x00.google.com. - Filter-Prüfung: Der Sicherheitsfilter von Claude Code überprüft die Zeichenkette von hinten, erkennt das Suffix
.google.comals gültig an und stuft die Verbindung als legitim ein. - System-Ausführung: Bei der Übergabe des Hostnamens an das zugrundeliegende Betriebssystem schneidet (trunkiert) dieses die Zeichenkette am Null-Byte ab. Das Betriebssystem initiiert die Netzwerkverbindung folglich nicht zu Google, sondern direkt zu
angreifer-server.com.
Mangelnde Transparenz bei CVE-Zuweisung
Die Schwachstelle war seit dem 20. Oktober 2025 in der Sandbox aktiv, dem Tag, an dem das Sicherheitsfeature allgemein verfügbar (General Availability) geschaltet wurde. Sie verblieb dort bis zur Veröffentlichung der fehlerbereinigten Versionen im Frühjahr 2026. Der Entdecker Aonan Guan kritisierte das Vorgehen von Anthropic bezüglich der Dokumentation. Das Unternehmen verzichtete darauf, eine dedizierte CVE-Nummer (Common Vulnerabilities and Exposures) für diesen spezifischen Fehler zu beantragen oder ihn in den Release Notes zu erwähnen.
Dies ist nicht der erste Vorfall dieser Art innerhalb der Laufzeitumgebung von Claude Code. Bereits zuvor wurde eine andere Sandbox-Schwachstelle unter der Kennung CVE-2025-66479 registriert, die von einem anderen Forscher entdeckt und am 26. November 2025 behoben wurde. Bei diesem älteren Fehler interpretierte die Sandbox eine Konfiguration, die eigentlich jeglichen ausgehenden Datenverkehr blockieren sollte, fälschlicherweise als Anweisung, alle Verbindungen zuzulassen („allow everything“).
Guan bemängelte, dass CVE-2025-66479 nicht direkt Claude Code zugewiesen wurde, sondern der zugrundeliegenden Programmbibliothek sandbox-runtime. Unternehmen, die diese Konfiguration im produktiven Betrieb einsetzten, erhielten keine direkte Warnung. Der Forscher betonte das Risiko für Administratoren:
„Ein Team, das diese Konfiguration vom 20. Oktober bis zum 26. November in der Produktion ausführte, hatte keine Möglichkeit zu wissen, dass die Sandbox effektiv ausgeschaltet war, und erhielt auch im Nachhinein keinen Hinweis darauf. Die CVE wurde gegen eine Bibliothek veröffentlicht, deren Existenz den meisten Claude-Code-Nutzern namentlich gar nicht bekannt ist.“
Aonan Guan, IT-Sicherheitsforscher
Verkettung mit der Prompt-Injection-Methode „Comment and Control“
Besonders gefährlich wird der Sandbox-Bypass durch die Kombination mit modernen Angriffstechniken auf KI-gestützte Entwickler-Tools. Guan hatte kürzlich eine Angriffs-Methodik namens „Comment and Control“ offengelegt. Diese Taktik zielt auf populäre KI-Sicherheits- und Automatisierungswerkzeuge wie Claude Code Security Review, Gemini CLI Action und den GitHub Copilot Agent ab.
Bei dieser Methode nutzen Angreifer manipulierte Inhalte innerhalb von GitHub-Repositorys – wie präparierte Pull-Request-Titel, Issue-Beschreibungen oder Kommentare –, um die mit GitHub Actions verknüpften KI-Agenten zu kapern (Hijacking). Durch den Prompt-Injection-Angriff führt der KI-Agent ungewollte Befehle aus. Ohne eine funktionierende Netzwerk-Sandbox kann der gekaperte Agent sensible Daten direkt an externe Server übermitteln. Der SOCKS5-Bypass diente somit als kritisches Puzzlestück, um die Datenexfiltration aus einer eigentlich isolierten CI/CD-Pipeline zu vervollständigen.
Anthropic hat Sicherheitslücke bereits behoben
Gegenüber dem Fachmagazin SecurityWeek äußerte sich Anthropic zu den Vorwürfen. Das Unternehmen erklärte, die Arbeit von Guan zu schätzen, betonte jedoch, dass das interne Sicherheitsteam die Null-Byte-Schwachstelle bereits vor dem Erhalt des Berichts des externen Forschers identifiziert und behoben habe.
Der zeitliche Ablauf stellt sich laut Anthropic wie folgt dar:
- 27. März 2026: Der Software-Fix wird in einem öffentlichen Commit im Repository der Bibliothek
sandbox-runtimehinterlegt. - 31. März 2026: Die Fehlerbehebung wird offiziell mit der Version Claude Code 2.1.88 ausgeliefert.
- 03. April 2026: Guan reicht seinen Fehlerbericht über das Bug-Bounty-Programm von Anthropic auf der Plattform HackerOne ein.
Da der Fehler zum Zeitpunkt der Einreichung intern bereits geschlossen war, markierte Anthropics Sicherheitsteam den Bericht auf HackerOne als Duplikat. Der vollständige Schutz gegen die Null-Byte-Injektion ist ab der Version 2.1.90 standardmäßig für alle Nutzer implementiert.
