Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк

Версии Claude Code до 2.1.64 (npm-пакет @anthropic-ai/claude-code) содержат уязвимость обхода песочницы, отслеживаемую как CVE-2026-39861. Проблема: песочница не препятствовала созданию символических ссылок, указывающих на местоположения за пределами рабочей области. Когда неподконтрольный песочнице процесс Claude Code впоследствии записывал данные по пути внутри такой симлинки, он переходил по ссылке и записывал в целевое местоположение без подтверждения пользователя.
Как работает эксплойт
Атака сочетает два компонента: команду внутри песочницы, создающую симлинку за пределы рабочей области, и последующую запись неподконтрольного песочнице приложения по пути, проходящему через эту симлинку. Ни один из компонентов по отдельности не может записать за пределы рабочей области — именно комбинация позволяет произвольную запись файлов. Для надежной эксплуатации требуется инъекция промптов, чтобы инициировать выполнение кода в песочнице через недоверенный контент в контекстном окне Claude Code.
Воздействие и CVSS
Оценено как высокая степень серьезности с базовым показателем CVSS v4 7,7. Вектор атаки — сеть, сложность низкая, привилегии не требуются, пассивное взаимодействие пользователя. Влияние на конфиденциальность, целостность и доступность уязвимой системы — высокое.
Затронутые и исправленные версии
- Затронуты: все версии до 2.1.64
- Исправлено: версия 2.1.64 (выпущена 20 апреля 2026 г.)
Пользователи стандартного автообновления получили исправление автоматически. Пользователям, обновляющимся вручную, следует немедленно обновиться до последней версии.
Что делать
Если вы используете Claude Code, проверьте свою версию с помощью claude --version и обновитесь до ≥2.1.64 через npm update @anthropic-ai/claude-code -g или соответствующий менеджер пакетов. Также имейте в виду, что эта уязвимость может быть вызвана через инъекцию промптов — относитесь к недоверенному контекстному контенту с осторожностью.
📖 Читать полный источник: HN AI Agents
👀 Смотрите также

Незащищенные экземпляры Paperclip, раскрывающие активные панели управления через поиск Google
Пользователь Reddit обнаружил работающую панель управления Paperclip с полными организационными данными, проиндексированными Google, после поиска ошибки. Экземпляр был публично доступен без аутентификации, раскрывая организационные схемы, разговоры агентов, назначения задач и бизнес-планы.

Проблемы конфиденциальности в OpenClaw: Навыки, SOUL MD и взаимодействие агентов
Разработчик поднимает вопросы конфиденциальности в архитектуре OpenClaw, в частности, касательно неограниченного доступа навыков к конфиденциальным данным, возможности записи в SOUL MD и обмена информацией между агентами без фильтров.

Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux
Исследователь Anthropic Николас Карлини использовал Claude Code для обнаружения нескольких удалённо эксплуатируемых переполнений буфера кучи в ядре Linux, включая одну, которая была скрыта в течение 23 лет. ИИ нашёл ошибки с минимальным контролем, просканировав всё дерево исходного кода ядра.

Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE
Пост на Reddit разбирает риски передачи ключа API Anthropic управляемому хостингу OpenClaw и объясняет, как TEE (Intel TDX) может изолировать ключи на уровне оборудования.