利用Claude Cowork沙箱中的Root执行漏洞
本文深入分析了Claude Cowork沙箱环境中存在的root权限执行漏洞,探讨了攻击者如何利用该漏洞绕过安全限制,在沙箱内获得最高系统权限。文章详细说明了漏洞的技术原理、潜在的攻击向量以及可能造成的安全风险,为开发者和安全研究人员提供了重要的安全参考。
背景速读
- Claude Cowork 是 Anthropic 推出的一款实验性产品,允许用户在 AI 助手的帮助下协作完成任务,代码在"沙箱"(Sandbox)环境中执行——一个隔离的、类似容器的 Linux 系统。
- 该沙箱以 root 用户权限运行,这意味着用户提交的代码拥有系统的最高控制权。正常的安全设计应当限制权限,防止恶意或误操作破坏环境。
- 本文作者发现,利用 root 身份可以修改沙箱的关键配置(如 DNS 解析、进程管理器),进而实施"命令与控制"(C2)攻击——让沙箱内的 AI 对外部服务器发出请求,泄露数据或接收指令。
- 漏洞根源不在 AI 模型本身,而在于沙箱的权限设计:在给予 AI 写文件的能力后,root 权限使 AI 可以改写系统关键文件,形成绕过安全限制的通道。
- 这一发现延续了业界对"AI agent 安全"的关注:当 AI 不仅能阅读文本,还能执行代码、修改系统时,隔离机制的严密性就成为关键。