Die Netzwerk-Sandbox von Claude Code bündelt sämtlichen ausgehenden Datenverkehr über einen lokalen Proxy, der nur Verbindungen zu Hosts auf einer Allowlist zulässt und alle übrigen Verbindungen unbemerkt unterbindet. Nach Darstellung des Schwachstellenforschers Aonan Guan wurden zuletzt zwei Wege bekannt, diese Sandbox zu umgehen.
Den ersten Fall, geführt als CVE-2025-66479, entdeckte ein anderer Forscher. Dabei interpretierte die Sandbox eine Einstellung, die eigentlich jeglichen ausgehenden Verkehr blockieren sollte, fälschlich als „alles erlauben". Das Problem wurde mit einem Update am 26. November 2025 behoben.
Die zweite, von Guan gefundene Schwachstelle beschreibt er als SOCKS5-Hostnamen-Null-Byte-Injection. „Die Richtlinie des Nutzers erlaubt nur *.google.com. Der Angreifer schickt einen Hostnamen wie attacker-host.com\x00.google.com. Der Filter sieht das angehängte .google.com und genehmigt die Verbindung; das Betriebssystem schneidet am Null-Byte ab und verbindet sich mit attacker-host.com", erklärte Guan.
Nach seiner Darstellung war die Lücke in der Sandbox seit dem 20. Oktober 2025 vorhanden, als die Sandbox allgemein verfügbar wurde, bis zur Version 2.1.90 im April – etwa zu dem Zeitpunkt, als er sie über Anthropics Bug-Bounty-Programm auf HackerOne meldete. Anthropic stufte den Bericht als Duplikat ein.
Guan stört sich daran, dass Anthropic für seine Schwachstelle keine CVE-Kennung vergeben und das Problem in den Release Notes nicht erwähnt hat. Zudem sei CVE-2025-66479 der Bibliothek „sandbox-runtime" zugeordnet worden und nicht Claude Code selbst, ohne Warnung an die Nutzer. „Ein Team, das die anfällige Konfiguration vom 20. Oktober bis zum 26. November produktiv betrieb, hatte keine Möglichkeit zu erkennen, dass die Sandbox faktisch ausgeschaltet war – und auch danach keinen Hinweis, dass sie es jemals war. Die CVE wurde gegen eine Bibliothek vergeben, die die meisten Claude-Code-Nutzer nicht einmal dem Namen nach kennen", so der Forscher.
Guan hatte kürzlich eine Prompt-Injection-Methode namens Comment and Control offengelegt. Sie funktionierte gegen verbreitete KI-gestützte Werkzeuge zur Codesicherheit und -automatisierung, darunter Claude Code Security Review, Gemini CLI Action und GitHub Copilot Agent. Er und weitere Forscher fanden heraus, dass sich die zugehörigen KI-Agenten auf GitHub Actions über speziell präparierte GitHub-Kommentare kapern lassen, etwa über PR-Titel, Kommentare oder Issue-Texte.
In Kombination mit einem solchen Angriff wäre die Sandbox-Umgehung laut Guan besonders wirkungsvoll gewesen und hätte das Abziehen von Umgebungsvariablen, Zugangsdaten, Tokens und Infrastrukturdaten ermöglicht.
Auf Anfrage von SecurityWeek erklärte Anthropic, man schätze Guans Arbeit, das eigene Sicherheitsteam habe das Problem jedoch bereits vor Eingang seiner Meldung erkannt und behoben. Der Fix sei am 27. März in einem öffentlichen Commit des „sandbox-runtime"-Repositorys enthalten gewesen und am 31. März mit Claude Code 2.1.88 ausgeliefert worden – bevor Guan seinen Bericht am 3. April über HackerOne einreichte.
