Claude Coworkのサンドボックスにおけるルート実行の悪用
本記事では、Claude Coworkのサンドボックス環境内でルート(root)権限でのコード実行が可能になる脆弱性について解説しています。この問題を悪用すると、サンドボックスの隔離制限を回避し、本来アクセスできないシステムリソースや他のユーザーのデータに干渉する可能性があります。記事では具体的な攻撃手法とその影響、そして推奨される対策について詳述しています。
背景メモ
Anthropic社のAIアシスタント「Claude」に搭載された「Cowork」機能(コード実行・ファイル操作を担うサンドボックス環境)について、その内部でルート権限が有効になっている脆弱性を悪用する手法が公開された記事。
- **Claude Cowork**: Claude内でコードを実行したりファイルを編集できる機能。通常は隔離されたサンドボックス内で動作するが、この記事によればそのプロセスがroot(管理者権限)で動いている。
- **脆弱性のポイント**: サンドボックス内でroot権限が使えると、本来は不可能なシステムコール(カーネル機能の直接呼び出し)や名前解決の改ざん、他プロセスのptrace(デバッグ用トレース)などが可能になる。これにより、Claudeの出力を操作したり、同一ホスト上の他ユーザーのサンドボックスへ横断的に侵入できる可能性がある。
- **実証された攻撃**: 細工したパケットで/var/run/docker.sock(Dockerデーモンと通信するための入口)を偽装し、Dockerコマンドを乗っ取る方法が示されている。
- **なぜ重要か**: AIアシスタントがコードを実行する機能は広がっており、その隔離(サンドボックス)の堅牢性はセキュリティ上の核心。この事例は、ベンダー発表の「安全な隔離」が実は破られうることを示した。