文章总结: 安全研究团队Armadin披露Anthropic旗下Windows版ClaudeDesktop存在安全缺陷,攻击者可通过DLL侧载突破ClaudeCowork沙箱隔离,在Hyper-V虚拟机中获取root权限并绕过网络访问限制。Anthropic认为该攻击链需已获得主机代码执行能力,不认定为漏洞。研究团队建议企业如不需要可直接卸载ClaudeDesktop,或限制用户权限并监控可疑DLL加载。 综合评分: 84 文章分类: 漏洞分析,渗透测试,红队,内网渗透
【安全圈】Claude Cowork沙箱逃逸,虚拟机形同虚设
安全圈
2026年7月7日 15:04 江苏
在小说阅读器读本章
去阅读
关键词
漏洞
近日,安全研究团队Armadin披露了Anthropic旗下Windows版Claude Desktop的一项安全缺陷:攻击者可利用本地组件突破Claude Cowork的沙箱隔离,在Hyper-V虚拟机中获取root权限,并绕过网络访问限制。
什么是Claude Cowork?
Claude Cowork是Anthropic推出的自动化工具,能在隔离的虚拟机环境中运行Claude Code,帮助用户处理文件、提取数据、生成报告等。在Windows版中,它基于Hyper-V隔离的Ubuntu虚拟机运行,官方宣称”安全沙箱”可以降低风险。
漏洞是怎么被利用的?
问题出在Windows本地服务CoworkVMService上。这个服务负责接收Claude Desktop的请求并转发到虚拟机中执行。研究人员通过DLL侧载(DLL Sideloading)手段,让经过Anthropic数字签名的claude.exe加载恶意DLL,使恶意代码在合法进程中运行,从而绕过CoworkVMService对调用程序身份的验证。
更关键的是,部分执行参数可以直接修改虚拟机的安全配置——包括指定以root身份执行命令、覆盖域名白名单。两者结合,攻击者不仅能拿到虚拟机最高权限,还能把数据偷偷外传到外部服务器。
Anthropic:不算漏洞
对此,Anthropic的回应是:该攻击链需要攻击者已获得Windows主机本地代码执行能力,因此不认定为安全漏洞。
但研究团队并不认同。他们指出,DLL侧载利用的是Claude Desktop自身加载机制的缺陷,并非用户系统本身有问题。建议企业如不需要Claude Cowork,可直接卸载Claude Desktop;若必须使用,则应限制可运行该应用的用户权限,并监控claude.exe是否从非系统目录加载可疑DLL。
并非首次翻车
值得注意的是,这已不是Claude系列工具第一次在沙箱安全上出问题。此前Claude Code的网络沙箱也被发现存在两个完整绕过漏洞,涉及SOCKS5协议空字节注入等经典攻击手法,影响长达5个半月、跨越130多个版本,Anthropic同样选择了静默修复、未发安全通告。
AI编程工具越来越强大,但”安全沙箱”如果只是看起来安全,比没有沙箱更危险。厂商在追求功能的同时,安全透明度和漏洞响应机制同样需要跟上。
END
阅读推荐
【安全圈】PamStealer 伪装 macOS 剪贴板管理器窃取数据
【安全圈】OpenAI 组织邀请功能被黑客滥用窃取数据
【安全圈】SSH 蜜罐漏捕大部分登录后攻击
【安全圈】2026年上半年网络安全事件盘点
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】Claude Cowork沙箱逃逸,虚拟机形同虚设》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论