Anthropic Claude Code 是许多开发团队常用的 AI 助理工具，但研究人员发现，Anthropic 自去年 10 月以来，在五个月内悄悄修复了 Claude Code 的两个沙箱绕过漏洞，却从未通过公告或任何方式通知用户，使广大开发者和企业用户长期暴露在安全风险中。

研究人员指出，Claude Code 存在两项沙箱漏洞，攻击者可通过提示词注入（Prompt Injection）等手段突破沙箱限制，强制 Claude Code 执行恶意代码，将敏感数据（如 API 密钥、源代码、环境变量）外传至外部服务器。

第一个沙箱漏洞为 CVE-2025-66479，于去年 10 月被披露。该漏洞存在于 Anthropic Sandbox Runtime 中。Sandbox Runtime 是一种轻量级沙箱工具，可在操作系统层面对程序实施文件系统和网络访问限制。该漏洞源于沙箱逻辑缺陷：当用户策略未配置任何允许域名（即默认禁止所有网络连接）时，沙箱运行时未能正确执行网络隔离，反而允许沙箱内代码向外发送网络请求。

第二个漏洞为 SOCKS5 主机名空字节注入漏洞（hostname null-byte injection）。尽管用户策略设置了仅允许 *.google.com 作为白名单，但攻击者或恶意程序可发送包含空字节（x00）的伪装主机名，如 attacker-host.comx00.google.com，从而绕过所有白名单限制。该漏洞未分配正式编号。

研究人员表示，自 2025 年 10 月 20 日发布的正式版 Claude Code v2.0.24 起，这两个漏洞便同时存在。2025 年 11 月 26 日，Anthropic 发布 v2.0.55 版本修复了 CVE-2025-66479（根据 NIST 官方数据库记录，Anthropic 发布了 Claude Code 0.0.16 版本修复该漏洞），但未修复第二个漏洞，导致仍存在安全隐患的版本继续分发给用户。直到 2026 年 4 月，Anthropic 才在 Claude Code v2.1.90 版本中修复了第二个漏洞。直至本月，公司才首次公开披露该漏洞的存在。

研究人员批评 Anthropic 始终保持沉默，导致大量用户长期处于安全风险中。这两个漏洞均是公司暗中修复，从未发布过任何 Claude Code 安全公告（Security Advisory）。尤其是第二个漏洞，影响范围覆盖了从 2025 年 10 月 20 日的 v2.0.24 版本到 v2.1.89 版本共五个半月、超过 130 个版本。在整个修复过程中，Anthropic 不仅未发布任何公告，也未在变更日志中做任何说明，仅在 v2.1.90 的发布通知中轻描淡写地提及“内部修复”。

此外，第二个漏洞始终未获得正式 CVE 编号。只有第一个漏洞 CVE-2025-66479 在 NIST 漏洞数据库或 GitHub Advisory Database 中留有记录，使得依赖 CVE 自动监控系统的企业的安全防护机制完全失效。公司也从未主动通知受影响用户，过去五个半月内，使用白名单策略的用户未收到任何电子邮件警告、页面提示或凭据轮换建议。

研究人员建议所有 Claude Code 用户立即升级至 v2.1.90 或更高版本。自 2025 年 10 月 20 日以来使用白名单策略的用户，应检查 SOCKS 代理的外部连接日志，并立即轮换所有可能被泄露的凭证。