Claude Code CVE-2026-39861: Sandbox-Escape durch Symlink-Following
Claude Code-Versionen vor 2.1.64 (npm-Paket @anthropic-ai/claude-code) enthalten eine Sandbox-Escape-Schwachstelle, die als CVE-2026-39861 geführt wird. Das Problem: Die Sandbox verhinderte nicht, dass sandboxierte Prozesse Symlinks erstellen, die auf Orte außerhalb des Arbeitsbereichs verweisen. Wenn der unsandboxierte Prozess von Claude Code später in einen Pfad innerhalb eines solchen Symlinks schrieb, folgte er dem Link und schrieb an das Ziel ohne Benutzerbestätigung.
Wie der Exploit funktioniert
Der Angriff kombiniert zwei Komponenten: einen sandboxierten Befehl, der einen Symlink außerhalb des Arbeitsbereichs erstellt, und die unsandboxierte App, die anschließend in einen Pfad schreibt, der diesen Symlink durchläuft. Keine Komponente allein kann außerhalb des Arbeitsbereichs schreiben – erst die Kombination ermöglicht das Schreiben beliebiger Dateien. Für eine zuverlässige Ausnutzung ist eine Prompt-Injection erforderlich, um die sandboxierte Codeausführung über nicht vertrauenswürdige Inhalte im Claude Code-Kontextfenster auszulösen.
Auswirkung und CVSS
Bewertet als Hoher Schweregrad mit einem CVSS v4-Basiswert von 7,7. Angriffsvektor ist Netzwerk, Komplexität gering, keine Berechtigungen erforderlich, passive Benutzerinteraktion. Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des anfälligen Systems sind alle hoch.
Betroffene und gepatchte Versionen
- Betroffen: alle Versionen vor 2.1.64
- Gepatcht: Version 2.1.64 (veröffentlicht am 20. April 2026)
Benutzer mit standardmäßigem automatischem Update haben den Fix automatisch erhalten. Manuelle Aktualisierer sollten sofort auf die neueste Version aktualisieren.
Was zu tun ist
Wenn Sie Claude Code verwenden, überprüfen Sie Ihre Version mit claude --version und aktualisieren Sie auf ≥2.1.64 über npm update @anthropic-ai/claude-code -g oder den entsprechenden Paketmanager. Beachten Sie auch, dass diese Schwachstelle durch Prompt-Injection ausgelöst werden kann – behandeln Sie nicht vertrauenswürdige Kontextinhalte mit Vorsicht.
📖 Vollständige Quelle lesen: HN AI Agents
👀 Siehe auch
AppLovin Mediation Cipher geknackt: Geräte-Fingerprinting umgeht ATT
Durch Reverse-Engineering wurde aufgedeckt, dass AppLovins benutzerdefinierte Chiffre ein konstantes Salt + SDK-Key, einen SplitMix64-PRNG und keine Authentifizierung verwendet. Entschlüsselte Anfragen übertragen selbst dann etwa 50 Gerätefelder (Hardwaremodell, Bildschirmgröße, Gebietsschema, Startzeit usw.), wenn die App-Tracking-Transparenz (ATT) verweigert wurde, und ermöglichen so eine deterministische Wiedererkennung über mehrere Apps hinweg.
Datenschutzbedenken bei OpenClaw: Fähigkeiten, SOUL MD und Agentenkommunikation
Ein Entwickler äußert Datenschutzbedenken bezüglich der Architektur von OpenClaw, insbesondere im Hinblick darauf, dass Skills uneingeschränkten Zugriff auf sensible Daten haben, SOUL MD beschreibbar ist und Agenten Informationen ohne Filter teilen.
Sunder: Eine Rust-basierte lokale Datenschutz-Firewall für LLMs
Sunder ist eine Chrome-Erweiterung, die als lokale Datenschutz-Firewall für KI-Chats fungiert und mit Rust und WebAssembly erstellt wurde, um sicherzustellen, dass keine sensiblen Daten Ihren Browser verlassen.
Regeln der Klaue: Open-Source-Sicherheitsregelsatz für OpenClaw-Agenten
Ein Open-Source-JSON-Regelsatz mit 139 Sicherheitsregeln, der zerstörerische Befehle blockiert, Anmeldedateien schützt und Anweisungsdateien vor unbefugten Agentenänderungen bewahrt. Er arbeitet ohne LLM-Abhängigkeit mithilfe von Regex-Mustern auf der Werkzeugebene.