安全研究人员发现Anthropic旗下Claude Cowork存在高危漏洞链,让攻击者能在隔离的Linux沙箱中以root身份执行任意命令,一举击穿微软Hyper-V虚拟机、Authenticode签名校验、bubblewrap命名空间、每会话非特权用户、seccomp过滤器及域限制出口代理等6层防护。
Claude Cowork是Anthropic面向知识工作者的产品,封装了Claude Code供非技术用户构建工具、处理数据。Windows版本将Claude Code置于Hyper-V隔离的Ubuntu虚拟机中,对外通过命名管道RPC通信,并对调用者实施严格的Authenticode数字签名验证。然而Armadin团队发现,主程序claude.exe在加载USERENV.dll时优先从自身目录查找,这为DLL侧加载攻击打开了方便之门。
![]()
攻击者只需构造一个导出GetUserProfileDirectoryW函数的恶意DLL并命名为USERENV.dll,放入claude.exe所在目录,就能在合法签名进程内执行任意代码,从而骗过管道签名检查。取得claude.exe内代码执行权后,研究人员借助AI编码代理逆向分析了RPC协议,最终在虚拟机内部获得root权限且无限制网络访问,实现了对Cowork沙箱的完全逃逸。
该攻击链组合利用了DLL侧加载(MITRE ATT&CK T1574.002)和服务逻辑缺陷,不仅揭开了高预设防御体系的缺口,更警示:即便层层设防,一个依赖文件加载顺序的疏忽就足以让所有隔离化为乌有。目前Anthropic尚未对此漏洞作出回应。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.