安全研究团队发现,只需修改两个参数,攻击者就能在 Windows 版 Claude Desktop 的 Ubuntu 虚拟机中获得 root 权限,并绕过网络访问限制。
Claude Cowork 是 Anthropic 为工作者提供的自动处理工具,可在隔离环境中运行 Claude Code,协助完成开发、数据整理等任务。在 Windows 版 Claude Desktop 中,Claude Cowork 依托 Hyper‑V 隔离的 Ubuntu 虚拟机工作,以此隔离风险。问题恰恰出在负责调度虚拟机的本地服务 CoworkVMService 上。
研究人员 Armadin 指出,CoworkVMService 接收来自 Claude Desktop 的请求,并把指令转发给虚拟机。由于该服务依赖调用者身份验证,攻击者通过 DLL 侧载(DLL Sideloading)方式,使 Anthropic 数字签名的 claude.exe 加载恶意 DLL,让恶意代码在合法进程中执行,直接绕开身份检查。这样一来,攻击者就能伪造指令,像正常应用一样向虚拟机发号施令。
进一步分析显示,部分转发参数可直接改写虚拟机内部安全配置。其中一类参数允许指定以已有的 Linux 用户身份运行命令,攻击者将其设为 root,立刻在虚拟机中获得最高权限;另一类参数可覆盖单次任务允许访问的域名白名单,此前设定的外部网络访问限制就此失效。两相结合后,攻击者在虚拟机上拥有了 root 权限,可以抓取运行中的进程和会话数据,再通过修改后的白名单把数据传送到自己控制的外部服务器。
Anthropic 方面回应,整条攻击链必须建立在攻击者已能本地执行代码的前提下,故不认为这属于安全漏洞。Armadin 则认为缺陷来自 Claude Desktop 自身的功能设计,并给出缓解建议:如果企业不需要 Claude Cowork,可直接卸载 Claude Desktop;若必须使用,应限制能够运行该应用的用户,同时监控 claude.exe 是否从非系统目录加载可疑 DLL,以降低风险。
同一套隔离机制,厂商视其为预期内的信任边界,安全研究者却担心立足点被利用后的数据外泄。这种分歧本身或许比单一漏洞更值得留意——当沙箱的假定前提被悄然跨越,留给使用者的防线还剩下几层?
热门跟贴