安全研究人员发现Anthropic旗下Claude Cowork存在高危漏洞链,让攻击者能在隔离的Linux沙箱中以root身份执行任意命令,一举击穿微软Hyper-V虚拟机、Authenticode签名校验、bubblewrap命名空间、每会话非特权用户、seccomp过滤器及域限制出口代理等6层防护

Claude Cowork是Anthropic面向知识工作者的产品,封装了Claude Code供非技术用户构建工具、处理数据。Windows版本将Claude Code置于Hyper-V隔离的Ubuntu虚拟机中,对外通过命名管道RPC通信,并对调用者实施严格的Authenticode数字签名验证。然而Armadin团队发现,主程序claude.exe在加载USERENV.dll时优先从自身目录查找,这为DLL侧加载攻击打开了方便之门。

打开网易新闻 查看精彩图片

攻击者只需构造一个导出GetUserProfileDirectoryW函数的恶意DLL并命名为USERENV.dll,放入claude.exe所在目录,就能在合法签名进程内执行任意代码,从而骗过管道签名检查。取得claude.exe内代码执行权后,研究人员借助AI编码代理逆向分析了RPC协议,最终在虚拟机内部获得root权限且无限制网络访问,实现了对Cowork沙箱的完全逃逸。

该攻击链组合利用了DLL侧加载(MITRE ATT&CK T1574.002)和服务逻辑缺陷,不仅揭开了高预设防御体系的缺口,更警示:即便层层设防,一个依赖文件加载顺序的疏忽就足以让所有隔离化为乌有。目前Anthropic尚未对此漏洞作出回应。