【安全圈】ClaudeCowork沙箱逃逸,虚拟机形同虚设

admin 2026-07-09 06:40:45 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全研究团队Armadin披露Anthropic旗下Windows版ClaudeDesktop存在安全缺陷,攻击者可通过DLL侧载突破ClaudeCowork沙箱隔离,在Hyper-V虚拟机中获取root权限并绕过网络访问限制。Anthropic认为该攻击链需已获得主机代码执行能力,不认定为漏洞。研究团队建议企业如不需要可直接卸载ClaudeDesktop,或限制用户权限并监控可疑DLL加载。 综合评分: 84 文章分类: 漏洞分析,渗透测试,红队,内网渗透


cover_image

【安全圈】Claude Cowork沙箱逃逸,虚拟机形同虚设

安全圈

2026年7月7日 15:04 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

近日,安全研究团队Armadin披露了Anthropic旗下Windows版Claude Desktop的一项安全缺陷:攻击者可利用本地组件突破Claude Cowork的沙箱隔离,在Hyper-V虚拟机中获取root权限,并绕过网络访问限制。

什么是Claude Cowork?

Claude Cowork是Anthropic推出的自动化工具,能在隔离的虚拟机环境中运行Claude Code,帮助用户处理文件、提取数据、生成报告等。在Windows版中,它基于Hyper-V隔离的Ubuntu虚拟机运行,官方宣称”安全沙箱”可以降低风险。

漏洞是怎么被利用的?

问题出在Windows本地服务CoworkVMService上。这个服务负责接收Claude Desktop的请求并转发到虚拟机中执行。研究人员通过DLL侧载(DLL Sideloading)手段,让经过Anthropic数字签名的claude.exe加载恶意DLL,使恶意代码在合法进程中运行,从而绕过CoworkVMService对调用程序身份的验证。

更关键的是,部分执行参数可以直接修改虚拟机的安全配置——包括指定以root身份执行命令、覆盖域名白名单。两者结合,攻击者不仅能拿到虚拟机最高权限,还能把数据偷偷外传到外部服务器。

Anthropic:不算漏洞

对此,Anthropic的回应是:该攻击链需要攻击者已获得Windows主机本地代码执行能力,因此不认定为安全漏洞。

但研究团队并不认同。他们指出,DLL侧载利用的是Claude Desktop自身加载机制的缺陷,并非用户系统本身有问题。建议企业如不需要Claude Cowork,可直接卸载Claude Desktop;若必须使用,则应限制可运行该应用的用户权限,并监控claude.exe是否从非系统目录加载可疑DLL。

并非首次翻车

值得注意的是,这已不是Claude系列工具第一次在沙箱安全上出问题。此前Claude Code的网络沙箱也被发现存在两个完整绕过漏洞,涉及SOCKS5协议空字节注入等经典攻击手法,影响长达5个半月、跨越130多个版本,Anthropic同样选择了静默修复、未发安全通告。

AI编程工具越来越强大,但”安全沙箱”如果只是看起来安全,比没有沙箱更危险。厂商在追求功能的同时,安全透明度和漏洞响应机制同样需要跟上。

END

阅读推荐

【安全圈】PamStealer 伪装 macOS 剪贴板管理器窃取数据

【安全圈】OpenAI 组织邀请功能被黑客滥用窃取数据

【安全圈】SSH 蜜罐漏捕大部分登录后攻击

【安全圈】2026年上半年网络安全事件盘点

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】Claude Cowork沙箱逃逸,虚拟机形同虚设》

评论:0   参与:  0