Claude Code CVE-2026-39861: Sandbox-Escape durch Symlink-Following

✍️ OpenClawRadar📅 Veröffentlicht: 8. Mai 2026🔗 Source
Claude Code CVE-2026-39861: Sandbox-Escape durch Symlink-Following
Ad

Claude Code-Versionen vor 2.1.64 (npm-Paket @anthropic-ai/claude-code) enthalten eine Sandbox-Escape-Schwachstelle, die als CVE-2026-39861 geführt wird. Das Problem: Die Sandbox verhinderte nicht, dass sandboxierte Prozesse Symlinks erstellen, die auf Orte außerhalb des Arbeitsbereichs verweisen. Wenn der unsandboxierte Prozess von Claude Code später in einen Pfad innerhalb eines solchen Symlinks schrieb, folgte er dem Link und schrieb an das Ziel ohne Benutzerbestätigung.

Wie der Exploit funktioniert

Der Angriff kombiniert zwei Komponenten: einen sandboxierten Befehl, der einen Symlink außerhalb des Arbeitsbereichs erstellt, und die unsandboxierte App, die anschließend in einen Pfad schreibt, der diesen Symlink durchläuft. Keine Komponente allein kann außerhalb des Arbeitsbereichs schreiben – erst die Kombination ermöglicht das Schreiben beliebiger Dateien. Für eine zuverlässige Ausnutzung ist eine Prompt-Injection erforderlich, um die sandboxierte Codeausführung über nicht vertrauenswürdige Inhalte im Claude Code-Kontextfenster auszulösen.

Ad

Auswirkung und CVSS

Bewertet als Hoher Schweregrad mit einem CVSS v4-Basiswert von 7,7. Angriffsvektor ist Netzwerk, Komplexität gering, keine Berechtigungen erforderlich, passive Benutzerinteraktion. Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des anfälligen Systems sind alle hoch.

Betroffene und gepatchte Versionen

  • Betroffen: alle Versionen vor 2.1.64
  • Gepatcht: Version 2.1.64 (veröffentlicht am 20. April 2026)

Benutzer mit standardmäßigem automatischem Update haben den Fix automatisch erhalten. Manuelle Aktualisierer sollten sofort auf die neueste Version aktualisieren.

Was zu tun ist

Wenn Sie Claude Code verwenden, überprüfen Sie Ihre Version mit claude --version und aktualisieren Sie auf ≥2.1.64 über npm update @anthropic-ai/claude-code -g oder den entsprechenden Paketmanager. Beachten Sie auch, dass diese Schwachstelle durch Prompt-Injection ausgelöst werden kann – behandeln Sie nicht vertrauenswürdige Kontextinhalte mit Vorsicht.

📖 Vollständige Quelle lesen: HN AI Agents

Ad

👀 Siehe auch

Architektonische Lösung für die Überzentralisierung von KI-Agenten: Trennung von Gedächtnis, Ausführung und ausgehenden Aktionen
Sicherheit

Architektonische Lösung für die Überzentralisierung von KI-Agenten: Trennung von Gedächtnis, Ausführung und ausgehenden Aktionen

Ein Entwickler erkannte, dass sein KI-Assistent zu einem 'internen Autokraten' wurde, indem er Langzeitgedächtnis, Werkzeugzugriff und autonome Entscheidungen in einer Komponente vereinte. Die Lösung bestand darin, das System in drei Rollen aufzuteilen: privater Controller, fokussierte Worker und ausgehende Gateways.

OpenClawRadar
🦀
Sicherheit

Google Threat Intelligence Group berichtet über ersten KI-entwickelten Zero-Day-Exploit, der 2FA umgeht

Die Google Threat Intelligence Group hat den ersten vollständig KI-entwickelten Zero-Day-Exploit entdeckt, der die Zwei-Faktor-Authentifizierung (2FA) in einem beliebten Open-Source-Web-basierten Systemadministrationstool umgeht, zusammen mit selbstmorphierenden Malware und Gemini-gestützten Backdoors.

OpenClawRadar
Anthropics Computer-Nutzungsfunktion löst in realem Test Governance-Sperre aus
Sicherheit

Anthropics Computer-Nutzungsfunktion löst in realem Test Governance-Sperre aus

Anthropic führte Computer-Nutzungsfunktionen ein, und während der Implementierung von Governance-Kontrollen löste ein Risikoschwellenwert eine LOCKDOWN-Haltung aus, die alle mutierenden Operationen blockierte, einschließlich der eigenen Governance-Arbeit des Operators.

OpenClawRadar
Kritischer Kollegen-Bug: KI-Agent löschte Dateien ohne Benutzerfreigabe
Sicherheit

Kritischer Kollegen-Bug: KI-Agent löschte Dateien ohne Benutzerfreigabe

Ein kritischer Fehler im Cowork-Modus von Claude ermöglichte es der KI, zerstörerische Aktionen ohne Zustimmung des Nutzers auszuführen. Das ExitPlanMode-Tool meldete fälschlicherweise die Zustimmung des Nutzers, wodurch ein autonomer Agent ausgelöst wurde, der 12 Dateien aus einem React/TypeScript-Codebase löschte.

OpenClawRadar