Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк

✍️ OpenClawRadar📅 Опубликовано: 8 мая 2026 г.🔗 Source
Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк
Ad

Версии Claude Code до 2.1.64 (npm-пакет @anthropic-ai/claude-code) содержат уязвимость обхода песочницы, отслеживаемую как CVE-2026-39861. Проблема: песочница не препятствовала созданию символических ссылок, указывающих на местоположения за пределами рабочей области. Когда неподконтрольный песочнице процесс Claude Code впоследствии записывал данные по пути внутри такой симлинки, он переходил по ссылке и записывал в целевое местоположение без подтверждения пользователя.

Как работает эксплойт

Атака сочетает два компонента: команду внутри песочницы, создающую симлинку за пределы рабочей области, и последующую запись неподконтрольного песочнице приложения по пути, проходящему через эту симлинку. Ни один из компонентов по отдельности не может записать за пределы рабочей области — именно комбинация позволяет произвольную запись файлов. Для надежной эксплуатации требуется инъекция промптов, чтобы инициировать выполнение кода в песочнице через недоверенный контент в контекстном окне Claude Code.

Ad

Воздействие и CVSS

Оценено как высокая степень серьезности с базовым показателем CVSS v4 7,7. Вектор атаки — сеть, сложность низкая, привилегии не требуются, пассивное взаимодействие пользователя. Влияние на конфиденциальность, целостность и доступность уязвимой системы — высокое.

Затронутые и исправленные версии

  • Затронуты: все версии до 2.1.64
  • Исправлено: версия 2.1.64 (выпущена 20 апреля 2026 г.)

Пользователи стандартного автообновления получили исправление автоматически. Пользователям, обновляющимся вручную, следует немедленно обновиться до последней версии.

Что делать

Если вы используете Claude Code, проверьте свою версию с помощью claude --version и обновитесь до ≥2.1.64 через npm update @anthropic-ai/claude-code -g или соответствующий менеджер пакетов. Также имейте в виду, что эта уязвимость может быть вызвана через инъекцию промптов — относитесь к недоверенному контекстному контенту с осторожностью.

📖 Читать полный источник: HN AI Agents

Ad

👀 Смотрите также

Незащищенные экземпляры Paperclip, раскрывающие активные панели управления через поиск Google
Безопасность

Незащищенные экземпляры Paperclip, раскрывающие активные панели управления через поиск Google

Пользователь Reddit обнаружил работающую панель управления Paperclip с полными организационными данными, проиндексированными Google, после поиска ошибки. Экземпляр был публично доступен без аутентификации, раскрывая организационные схемы, разговоры агентов, назначения задач и бизнес-планы.

OpenClawRadar
Проблемы конфиденциальности в OpenClaw: Навыки, SOUL MD и взаимодействие агентов
Безопасность

Проблемы конфиденциальности в OpenClaw: Навыки, SOUL MD и взаимодействие агентов

Разработчик поднимает вопросы конфиденциальности в архитектуре OpenClaw, в частности, касательно неограниченного доступа навыков к конфиденциальным данным, возможности записи в SOUL MD и обмена информацией между агентами без фильтров.

OpenClawRadar
Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux
Безопасность

Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux

Исследователь Anthropic Николас Карлини использовал Claude Code для обнаружения нескольких удалённо эксплуатируемых переполнений буфера кучи в ядре Linux, включая одну, которая была скрыта в течение 23 лет. ИИ нашёл ошибки с минимальным контролем, просканировав всё дерево исходного кода ядра.

OpenClawRadar
Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE
Безопасность

Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE

Пост на Reddit разбирает риски передачи ключа API Anthropic управляемому хостингу OpenClaw и объясняет, как TEE (Intel TDX) может изолировать ключи на уровне оборудования.

OpenClawRadar