← 返回 Claude AI IP 检测

Claude Cowork 曝沙箱逃逸攻击链:隔离 VM 内可取 root,Anthropic 判定"非漏洞"

Claude 资讯 · 2026-07-07 · Net.Coffee

安全公司 Armadin 拆解了 Claude Desktop for Windows 里 Cowork 功能的一整条沙箱逃逸链,两个未过滤参数就能在隔离环境里拿到 root 并绕开网络限制;而 Anthropic 认为这不算安全问题。谁对谁错,其实取决于你怎么理解"沙箱"这两个字。

一句话:研究者演示了 Claude Cowork 的完整沙箱逃逸——在已能本地执行代码的前提下,借 isResumeallowedDomains 两个被忽略的参数拿到 VM 内 root、关掉出网过滤,再用 nsenter 跳出 bubblewrap;Anthropic 因"前提是主机已被攻陷"而不认定为漏洞。这类围绕 AI 客户端的安全争议,对国内代理用户判断"自己这套环境是否可信"很有参考价值——不确定的话,先去 Claude AI IP 检测 把网络环境自查一遍。

是什么:一条被官方"降级"的逃逸链

近日,安全公司 Armadin 公开了一份针对 Claude Desktop for WindowsCowork 功能的技术分析,详细复现了一条从"沙箱内普通用户"到"沙箱外、拿到 root、还能任意外连"的完整攻击链。据其博客与多家安全媒体报道,验证所用版本为 Claude Desktop for Windows 1.9255.2.0

Cowork 在 Windows 上的设计本身是相当讲究的:它把 Claude Code 包进一个 Hyper-V 隔离的 Ubuntu 虚拟机,外面还叠了好几层防护——基于 Authenticode 签名校验的命名管道 RPC、bubblewrap 命名空间隔离、每条命令一个无特权用户、seccomp 过滤,以及一个只放行白名单域名的出网代理。按理说,即便模型或某段代码"跑偏",也很难对宿主造成实质影响。

Armadin 这次要说明的,恰恰是"这几层防护在特定条件下能被逐层剥掉"。而 Anthropic 在 2026 年 3 月收到报告后回应称:这条链利用的前提是攻击者已经在宿主机上具备本地代码执行能力,因此"不构成安全问题"。这也是这条新闻真正有意思的地方——技术上确有其事,定性上双方各执一词。

细节:两个"没人看"的参数

据 Armadin 披露与安全媒体转述,整条链的关键,是负责调度虚拟机的 CoworkVMService 在把请求转发给 sdk-daemon 时,没有校验 JSON 载荷里的两个字段

入口一环同样值得一提:据报道,研究者对 claude.exe 自身用了 DLL 侧加载(DLL sideloading)——因为 claude.exe 会先从自己所在目录加载 USERENV.dll,再回退到系统里的正版副本,于是一个同名的恶意 DLL 只要被放到可执行文件旁边,就能"寄生"在这个已签名进程里运行,从而骗过基于 Authenticode 的调用方校验。拿到 root、关掉出网之后,再借 nsenter 从 bubblewrap 命名空间跳进更外层的虚拟机。多家报道称,几步串起来后,理论上可以把 /etc/shadow 这类敏感文件直接送到外部服务器。

注意:以上技术细节均来自研究方披露与第三方安全媒体转述,本文不提供任何可复现步骤。是否"够得上漏洞",官方与研究者存在分歧;这里客观呈现双方说法,不下结论性指控。

背景:这是"漏洞",还是"设计前提"?

争议点其实很清楚。Anthropic 的逻辑是:Cowork 的沙箱是用来约束 AI 智能体行为的——防止模型自己"越界",而不是用来抵御"已经拿到你电脑控制权的攻击者"。既然复现这条链需要先在宿主机执行恶意代码,那"沙箱被绕过"就不在它承诺的威胁模型之内。据报道,Anthropic 在 3 月 20 日收到报告、3 月 24 日给出了这一判定。

研究方与部分安全从业者的看法则是:既然产品把"隔离虚拟机 + 多层防护"作为卖点,用户很自然会把它理解成一道纵深防线,而不只是"防模型手滑"。当这道防线能被两个未过滤参数逐层拆掉时,把它整体归为"非安全问题",至少在沟通层面容易让人误判风险边界。孰是孰非,见仁见智——但对普通用户而言,有一个更实际的结论:不要把任何 AI 客户端的沙箱当成"随便跑不受信代码也没事"的保险箱

顺带一提,这已不是近期唯一一起围绕 Claude 桌面/命令行工具的安全讨论。关注这类动态的国内用户,往往同时也在意另一件事:自己这套"代理 + 客户端"的环境到底干不干净、会不会在不知情时暴露真实身份或触发风控。这两类问题其实是同一枚硬币的两面。

对国内 / 代理用户意味着什么

对大多数只是想"稳定用上 Claude"的国内用户来说,这条新闻不必恐慌——复现前提很苛刻。但它是个很好的提醒:你的运行环境是否可信,值得定期自查。尤其是那些用了机场、中转、共享节点的人,风险往往不在"某个 CVE",而在"我这条链路本身是否安全、是否泄露身份"。可以从这几件事做起:

动手自查:安全新闻看再多,不如亲手确认自己这套环境是否可信。打开 Claude AI IP 检测,几秒钟看清你的出口 IP、时区与代理特征,再回头对照上面几篇专题,把该关的漏关的都补齐——这比担心一个"需先攻陷本机"的逃逸链要实在得多。

参考来源:Armadin 官方博客、SiliconANGLE、SC Media、GBHackers、Cyber Security News 等公开报道。本文为二次整理,技术细节以研究方原文为准;涉及争议之处均已注明归因,不构成安全建议或指控。

← 返回 Claude AI IP 检测