Kritična ranjivost u Claude Code asistentima omogućava pristup kredencijalima i kodu
Kritična ranjivost u Claude Code sandboxu omogućavala je krađenje kredencijala i koda tokom 5,5 meseci bez javnog upozorenja.
Šta se desilo?
Antropičin AI asistent Claude Code sadržavao je ozbiljnu ranjivost u mrežnoj zaštiti (sandbox) koja je trajala više od pet meseci. Ranjivost je omogućavala napadačima da ukradu kredencijale razvojnih inženjera, izvorni kod projekata i varijable okruženja. Kompanija Anthropic nikada nije izdala javno upozorenje o postojanju problema.
Bezbedonosni istraživač Aonan Guan je otkrio da se radi o drugom kompletnom zaobilasku zaštite, što sugeriše sistemski problem u implementaciji a ne samo slučajnu grešku. Ranjivost je trajala od verzije v2.0.24 (oktobar 2025) do verzije v2.1.89, zahvatajući približno 130 objavljenih verzija tokom 5,5 meseci.
Koga pogađa?
Ranjivost direktno ugrožava programere i tehnijske timove koji koriste Claude Code za rad na projektima. Posebno su u opasnosti korisnici koji su koristili aplikaciju sa konfiguracijama koje dozvoljavaju mrežnu komunikaciju sa većim brojem domena. Svaka organizacija koja je koristila Claude Code u ovom vremenskom periodu trebalo bi da proveri da li su joj pristupljeni osetljivi podaci.
Kako se zaštititi?
- Odmah ažurirajte Claude Code na verziju v2.1.90 ili noviju - proverite vašu trenutnu verziju naredbom claude --version
- Ako ste koristili divljaću listu dozvoljenih domena (wildcard allowlist) između oktobra 2025 i vremena ažuriranja, audituirajte sve ishodnu mrežnu komunikaciju
- Rotujte sve kredencijale dostupne iz vašeg sistema - AWS ključeve, GitHub tokene i dr.
- Implementirajte mrežnu kontrolu na nivou hipervisor-a ili mrežnog sloja umesto da se oslanjate samo na sandboxu aplikacije
- Proverite environment varijable i API ključeve koji su mogući biti izloženi
Tehnički detalji
Ranjivost je SOCKS5 hostname null-byte injection. Napadač je mogao da izradi hostname kao "attacker-host.com\x00.google.com" - JavaScript filter bi primetio ".google.com" i dozvolio konekciju, dok bi libc biblioteka prekinula čitanje na null bajtу (\x00) i razrešila samo "attacker-host.com". Kod u sandbox-runtime verzije 0.0.42 i starije nije validirao null bajtove u domenama. Ispravka u verziji 0.0.43 dodala je isValidHost() funkciju koja odbija problematične karaktere.
Ranjivost je posebno opasna u kombinaciji sa prompt injection napadima - maliciozna uputstva skrivena u GitHub komentarima ili dokumentaciji mogu aktivirati kôd koji koristi ovaj zaobilasku. Podatke je moguće ukrasti u sirovom SOCKS5 formatu što zaobilazi standardne HTTP logove.
Preporuka Sajber Radara
Svi korisnici Claude Code-a trebalo bi da odmah ažuriraju na najnoviju verziju i da rotiraju sve kredencijale ako su koristili divlje liste dozvoljenih domena. Organizacije trebalo bi da implementiraju dodatne kontrole na mrežnom nivou jer se sandboxu ne smeće potpuno poveravati kao bezbedonosnoj granici.