Die Schwachstelle betrifft die Sandbox des KI-gestützten Programmierwerkzeugs Claude Code. Die Sandbox soll verhindern, dass darin ausgeführte Prozesse außerhalb des Arbeitsverzeichnisses schreiben können. Sie unterband jedoch nicht, dass ein Prozess innerhalb der Sandbox symbolische Verknüpfungen (Symlinks) anlegt, die auf Ziele außerhalb des Arbeitsbereichs zeigen. Schrieb Claude Code anschließend auf einen Pfad innerhalb einer solchen Verknüpfung, folgte der nicht abgeschottete Anwendungsprozess dem Symlink und schrieb an das externe Ziel – ohne beim Nutzer nachzufragen. So entsteht ein Ausbruch aus der Sandbox: Weder der eingesperrte Befehl noch die Anwendung allein konnten außerhalb des Arbeitsbereichs schreiben, ihr Zusammenspiel jedoch erlaubte Schreibzugriffe an beliebige Orte und damit potenziell die Codeausführung außerhalb der Sandbox. Zuverlässig ausnutzbar war dies nur, wenn ein Angreifer über eine Prompt-Injection unvertrauenswürdige Inhalte in den Kontext einschleusen und so die Ausführung von Code in der Sandbox auslösen konnte.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Studie zeigt Umgehung von Sicherheitsprüfungen bei KI-Code-Agenten 09.07.2026