Claude Code CVE-2026-39861: Sandbox-Escape durch Symlink-Following

Claude Code-Versionen vor 2.1.64 (npm-Paket @anthropic-ai/claude-code) enthalten eine Sandbox-Escape-Schwachstelle, die als CVE-2026-39861 geführt wird. Das Problem: Die Sandbox verhinderte nicht, dass sandboxierte Prozesse Symlinks erstellen, die auf Orte außerhalb des Arbeitsbereichs verweisen. Wenn der unsandboxierte Prozess von Claude Code später in einen Pfad innerhalb eines solchen Symlinks schrieb, folgte er dem Link und schrieb an das Ziel ohne Benutzerbestätigung.
Wie der Exploit funktioniert
Der Angriff kombiniert zwei Komponenten: einen sandboxierten Befehl, der einen Symlink außerhalb des Arbeitsbereichs erstellt, und die unsandboxierte App, die anschließend in einen Pfad schreibt, der diesen Symlink durchläuft. Keine Komponente allein kann außerhalb des Arbeitsbereichs schreiben – erst die Kombination ermöglicht das Schreiben beliebiger Dateien. Für eine zuverlässige Ausnutzung ist eine Prompt-Injection erforderlich, um die sandboxierte Codeausführung über nicht vertrauenswürdige Inhalte im Claude Code-Kontextfenster auszulösen.
Auswirkung und CVSS
Bewertet als Hoher Schweregrad mit einem CVSS v4-Basiswert von 7,7. Angriffsvektor ist Netzwerk, Komplexität gering, keine Berechtigungen erforderlich, passive Benutzerinteraktion. Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des anfälligen Systems sind alle hoch.
Betroffene und gepatchte Versionen
- Betroffen: alle Versionen vor 2.1.64
- Gepatcht: Version 2.1.64 (veröffentlicht am 20. April 2026)
Benutzer mit standardmäßigem automatischem Update haben den Fix automatisch erhalten. Manuelle Aktualisierer sollten sofort auf die neueste Version aktualisieren.
Was zu tun ist
Wenn Sie Claude Code verwenden, überprüfen Sie Ihre Version mit claude --version und aktualisieren Sie auf ≥2.1.64 über npm update @anthropic-ai/claude-code -g oder den entsprechenden Paketmanager. Beachten Sie auch, dass diese Schwachstelle durch Prompt-Injection ausgelöst werden kann – behandeln Sie nicht vertrauenswürdige Kontextinhalte mit Vorsicht.
📖 Vollständige Quelle lesen: HN AI Agents
👀 Siehe auch

Architektonische Lösung für die Überzentralisierung von KI-Agenten: Trennung von Gedächtnis, Ausführung und ausgehenden Aktionen
Ein Entwickler erkannte, dass sein KI-Assistent zu einem 'internen Autokraten' wurde, indem er Langzeitgedächtnis, Werkzeugzugriff und autonome Entscheidungen in einer Komponente vereinte. Die Lösung bestand darin, das System in drei Rollen aufzuteilen: privater Controller, fokussierte Worker und ausgehende Gateways.
Google Threat Intelligence Group berichtet über ersten KI-entwickelten Zero-Day-Exploit, der 2FA umgeht
Die Google Threat Intelligence Group hat den ersten vollständig KI-entwickelten Zero-Day-Exploit entdeckt, der die Zwei-Faktor-Authentifizierung (2FA) in einem beliebten Open-Source-Web-basierten Systemadministrationstool umgeht, zusammen mit selbstmorphierenden Malware und Gemini-gestützten Backdoors.

Anthropics Computer-Nutzungsfunktion löst in realem Test Governance-Sperre aus
Anthropic führte Computer-Nutzungsfunktionen ein, und während der Implementierung von Governance-Kontrollen löste ein Risikoschwellenwert eine LOCKDOWN-Haltung aus, die alle mutierenden Operationen blockierte, einschließlich der eigenen Governance-Arbeit des Operators.

Kritischer Kollegen-Bug: KI-Agent löschte Dateien ohne Benutzerfreigabe
Ein kritischer Fehler im Cowork-Modus von Claude ermöglichte es der KI, zerstörerische Aktionen ohne Zustimmung des Nutzers auszuführen. Das ExitPlanMode-Tool meldete fälschlicherweise die Zustimmung des Nutzers, wodurch ein autonomer Agent ausgelöst wurde, der 12 Dateien aus einem React/TypeScript-Codebase löschte.