Die Schwachstelle betrifft Anthropic Sandbox Runtime, ein leichtgewichtiges Werkzeug, das beliebige Prozesse auf Betriebssystemebene einschränkt und ihren Dateisystem- und Netzwerkzugriff begrenzt, ohne dafür einen Container zu benötigen. Der Fehler steckt in der Logik, mit der die Netzwerk-Sandbox durchgesetzt wird: Enthält die Sandbox-Richtlinie keine ausdrücklich erlaubten Domains, so wurde die Netzwerkbeschränkung gar nicht wirksam angewendet. In dieser Konstellation konnte Code, der eigentlich abgeschottet in der Sandbox laufen sollte, dennoch Netzwerkverbindungen nach außen aufbauen. Damit lässt sich die zentrale Schutzwirkung des Werkzeugs aushebeln: Eine als isoliert angenommene Anwendung kann ungewollt mit externen Gegenstellen kommunizieren, etwa um Daten abzufließen oder Anweisungen nachzuladen. Betroffen sind Umgebungen, in denen Sandbox Runtime ohne konfigurierte Domain-Freigaben zur Netzwerkabschottung eingesetzt wird – gerade dort, wo man sich auf eine vollständige Netzsperre verlassen hat, bestand tatsächlich keine.