Vom Chatbot selbst bestätigt: Behobene Sandbox-Lücke in Claude Code war sehr gefährlich

Anthropic hatte bis Ende März zwei gefährliche Bypass-Lücken in der Netzwerk-Sandbox von Claude Code geschlossen, die für Nutzer des KI-Modells ein erhebliches Risiko dargestellt hatten. Kritik gibt es nun daran, wie das Unternehmen mit der Behebung der Schwachstellen umging – Rückendeckung kommt hingegen von Claude selbst.

Gefährliche Lücke, aber keine Bekanntmachung

Darüber berichtet aktuell The Register. Eine der von Aonan Guan, bei Wyze Labs für Cloud- und KI-Sicherheit zuständig, entdeckten Schwachstellen ermöglichte es Angreifern, beliebige Inhalte aus der Sandbox – darunter Zugangsdaten, Quellcode und andere private Daten – an frei gewählte Server im Internet zu übertragen.

Die kurz darauf identifizierte zweite Lücke basiert auf einer SOCKS5-Hostname-Null-Byte-Injektion. Diese konnte dazu missbraucht werden, den Allowlist-Filter der Sandbox zu umgehen und Verbindungen zuzulassen, die eigentlich hätten blockiert werden sollen. Besonders kritisch werde die Schwachstelle laut Guan in Kombination mit einer Prompt-Injection: In diesem Szenario könnte ein Angreifer die KI dazu bringen, versteckte Anweisungen auszulesen und anschließend schadhaften Code innerhalb der Sandbox auszuführen. Damit ließen sich letztlich sämtliche Daten exfiltrieren, auf die die Sandbox Zugriff besitzt.

Die Schwachstellen wurden zwar zeitnah von Anthropic geschlossen, allerdings weder mit einer CVE-Kennung noch mit einem anderen konkreten Sicherheitshinweis versehen. Gegenüber The Register erklärte Guan, dies sei bereits das zweite Mal innerhalb von fünf Monaten gewesen, dass Anthropic eine Sandbox-Bypass-Lücke in Claude Code stillschweigend behoben habe. Nach Einschätzung des Sicherheitsexperten habe die Netzwerkgrenze in den rund fünf Monaten zwischen der allgemeinen Verfügbarkeit der Sandbox und Version 2.1.90 für jeden Nutzer, „der Claude Code mit einer Wildcard-Allowlist auf einem System mit Anmeldedaten ausgeführt hat“ faktisch nicht existiert, wie Guan in einer am Mittwoch veröffentlichten Analyse schreibt.

Unternehmen will die Schwachstelle selbst gefunden haben

Anthropic gab dem Bericht zufolge an, die jüngste Schwachstelle bereits vor Eingang von Guans Meldung entdeckt und behoben zu haben. Laut einem Sprecher findet sich die Korrektur in einem öffentlichen Commit des Sandbox-Runtime-Repositorys, der am 31. März 2026 mit Claude Code 2.1.88 ausgeliefert worden sei. „Jeder kann den Commit einsehen“, erklärte der Sprecher gegenüber The Register. Guan selbst habe seinen Bug-Bounty-Bericht laut Artikel am 3. April 2026 bei HackerOne eingereicht. Da darin eine bereits bekannte und behobene Schwachstelle beschrieben worden sei, habe Anthropic den Bericht als Duplikat eines internen Befunds eingestuft und geschlossen.

Nutzer sollen im Ungewissen gelassen worden sein

Den zeitlichen Ablauf bestreitet Guan nicht, kritisiert jedoch den Umgang von Anthropic mit der schwerwiegenden Schwachstelle. „Das Kernproblem ist, dass es sich um eine Umgehung einer vom Benutzer konfigurierten Netzwerk-Sandbox handelte und es immer noch keinen CVE-Hinweis und keinen Eintrag im Changelog gibt“, wird er in dem Artikel zitiert. Aus seiner Sicht sei es problematischer, eine fehlerhafte Sandbox bereitzustellen als gar keine. „Der Benutzer ohne Sandbox weiß, dass er keine Grenzen hat. Der Benutzer mit einer defekten Sandbox glaubt, dass er welche hat“, erklärt der Experte.

Der bereits im Dezember 2025 von Guan gemeldete und ausführlich dokumentierte Fehler wurde von Anthropic mit der CVE-Kennung CVE-2025-66479 versehen und in Version 0.0.16 behoben. Die Kennung bezieht sich jedoch offenbar ausschließlich auf die Sandbox-Runtime, ein enthaltenes Upstream-Paket, nicht aber konkret auf Claude Code selbst. Auch daran übt Guan Kritik: Nutzern fehle damit die Möglichkeit zu erkennen, ob ihr Coding-Assistent „allow nothing“ möglicherweise als „allow everything“ interpretiere. Guan beantragte daraufhin einen eigenen CVE-Eintrag für Claude Code, was Anthropic jedoch mit der Begründung ablehnte, dass „die Ursache in der Bibliothek liege“.

Claude sah die Schwachstelle ebenfalls als gefährlich an

Trotz seiner Kritik zeigte sich Guan erleichtert darüber, dass Anthropic die Sicherheitslücke inzwischen geschlossen hat. „Manche Anbieter vergeben CVEs, andere nicht“, erklärte der Experte. „Ich denke, beide Ansätze können vernünftig sein, aber die Bekanntmachung ist ein Muss.“ Rückendeckung bei der Einordnung des Gefahrenpotenzials erhielt er ausgerechnet von Claude selbst: Nachdem Guan dem Chatbot dessen eigene Sicherheitslücke gezeigt hatte, antwortete dieser laut einem in der Studie veröffentlichten Screenshot: „Dies ist eine echte Umgehung des Netzwerk-Sandbox-Filters.“