Claude Cowork 沙箱逃逸链分析:DLL 侧加载到 root 权限的完整攻击路径
Claude Cowork 的沙箱架构
Claude Cowork 是 Anthropic 在 Claude Desktop for Windows 中推出的功能模块,让非技术用户也能安全地自动化日常任务。它的底层实现是在 Hyper-V 隔离的 Ubuntu 虚拟机中运行 Claude Code,通过多层防御来限制风险。
这套沙箱架构的防御层包括:
| 防御层 | 作用 |
|---|---|
| Authenticode 签名验证 | 管控谁可以通过命名管道与 VM 通信 |
| Bubblewrap 命名空间 | 限制进程的文件系统可见范围 |
| 每会话非特权用户 | 每次会话创建无 sudo 权限的独立用户 |
| Seccomp 过滤 | 限制可调用的系统调用 |
| 域名白名单出站代理 | 限制网络访问范围 |
设计目标是即使 VM 内部某个组件被攻破,也无法执行任意代码。安全研究员 Armadin 对这套端到端防御进行了完整攻击测试。
第一步:DLL 侧加载绕过签名验证
整个沙箱的核心是 ,一个运行在 Local System 权限下的服务,通过命名管道暴露 JSON 格式的 RPC 接口与 VM 通信。
连接验证依赖 Authenticode 签名检查,绑定 Anthropic 的证书。Armadin 尝试了签名克隆和构建替代信任链两种方式,都没能突破这道检查。
突破口是 DLL 侧加载(DLL sideloading)。 在解析 时会优先从自身应用程序目录加载,找不到才回退到系统副本。在 同目录放一个导出了预期函数的恶意 DLL,就能在一个合法签名的 Anthropic 进程内执行任意代码。

这个合法签名的进程满足命名管道的签名验证要求,攻击者获得了一个通过认证的 RPC 通道。
第二步:滥用 spawn 接口的未过滤参数
从 DLL 侧加载获得立足点后,Armadin 借助 AI 编程助手逆向了未公开的 RPC 协议,通过服务日志、错误消息和定向 fuzz 摆弄出了 、、 等方法的用法。
对 方法参数的 fuzz 发现了两个未做任何过滤的字段。
isResume 参数:设计用途是复用已有会话,而非创建新的非特权用户。将 设为 并指定一个已存在的用户名(如 ),会绕过通常阻止针对已有账户的检查,返回一个拥有完整 root 权限和全部 Linux capabilities 的 shell。
allowedDomains 参数:设计用途是限定单条命令的网络访问范围。将 设为通配符,出站代理的域名白名单彻底失效,原本返回 403 的流量全部放行。
第三步:nsenter 跳出 Bubblewrap 沙箱
拿到 root 权限后,关键问题是如何逃出 bubblewrap 命名空间隔离。
Bubblewrap 的设计意图是让容器内进程看不到宿主进程。但 PID 1(init 进程)在 bubblewrap 命名空间内仍然可见。这个可见性成为了实际逃逸路径。
使用 工具挂载 PID 1,攻击者可以进入底层 VM 的 mount、process、network 等所有命名空间,获得对宿主 VM 的无限制访问。

一条请求完成全链攻击
将上述两个参数组合到同一条 spawn 请求中,Armadin 实现了一步完成完整攻击链:以 root 身份运行、逃出沙箱、将 内容外传到外部服务器。这构成对隔离模型的完整攻破。
攻击链在 Claude Desktop for Windows 1.9255.2.0 版本上验证通过。
Anthropic 的回应
Armadin 于 2026 年 3 月 20 日向 Anthropic 报告了这个问题。Anthropic 在 3 月 24 日回复,将整条攻击链归类为"不构成安全问题",理由是利用前提是攻击者已在主机上拥有本地代码执行能力。
这个分类逻辑有争议空间。DLL 侧加载确实需要攻击者先在主机上获得一定程度的代码执行权限,但 Claude Cowork 的沙箱设计目标本身就包括限制已执行代码的影响范围。攻击链展示了即使在这种前提条件下,沙箱的多层防御仍然可以被逐步穿透。
缓解措施
Armadin 建议的缓解方案:
第一,不需要 Cowork 功能的系统直接卸载 Claude Desktop,彻底移除命名管道和易受攻击的服务。
第二,必须使用 Cowork 的系统,通过 AppLocker 打包应用规则限制可运行该程序的账户范围,缩小 DLL 侧加载载荷的潜在目标面。
第三,检测层面,监控 的 DLL 加载事件,重点关从标准系统目录之外加载的常见滥用桩库,能在变体被利用前提供高信号预警。
更广泛的安全视角
这次披露反映了 Anthropic 编码工具今年暴露的一系列沙箱和权限执行问题。类似的隔离缺陷也在 Claude Code 的配置处理和拒绝列表逻辑中被发现。
AI 生产力工具越来越多地在非技术用户的日常环境中嵌入本地虚拟机,引入了许多组织尚未准备好监控的攻击面和可见性盲区。沙箱隔离的设计强度与 AI 工具的部署范围之间存在张力:工具越易用、面向的用户越非技术化,沙箱被绕过的潜在影响就越大。
- Anthropic 超 8 万用户调研:81% 认为 AI 正兑现预期3/19/2026
- Claude Code 上线 Channels:用 Telegram 和 Discord 操控本地编程任务3/20/2026
- 八家科技巨头签署反诈骗协议,平台反诈开始从单案协作走向跨平台联防3/16/2026
- Anthropic 洽谈由三星代工自研 AI 芯片7/2/2026
- macOS 里藏着一颗 49.7 天的定时炸弹:TCP 网络会静默失效4/9/2026
- 三家美国 AI 巨头罕见联手,共享情报应对'对抗性蒸馏'4/7/2026
- Anthropic 的终极安全模型 Mythos,上线当天就被未授权访问了4/23/2026
- Google 把 Gemini 接进暗网情报,安全团队开始追求“少噪音”3/24/2026
- OpenAI 将推出网络安全专用模型 GPT-5.5-Cyber,仅限受信任防御者使用5/1/2026
- Microsoft Edge 被曝会话期间明文保存所有密码于内存5/5/2026
- 逆向 Claude Code 请求签名:cch 是怎么算出来的4/3/2026
- 美国车载酒精检测设备商遭网络攻击,多地司机车辆无法启动3/21/2026
- FCC封杀外国造新型路由器,美国家用网络市场开始按产地重写准入3/24/2026
- Anthropic 泄露草案暴露新模型 Claude Mythos:Opus 之上的新层级与网络安全风险3/27/2026
- 7-Zip 高危漏洞被公开:扩展名无关的 RCE 攻击链5/27/2026
- 360Claw 相关泛域名证书被曝连同私钥流出,这件事真正该盯的是吊销与轮换3/16/2026
- Cloudflare 把 archive.today 标成恶意域名,争议已走到 DNS 层3/23/2026
- Claude 曝出「身份混淆」缺陷:AI 代理误认自身推理为用户指令,触发安全风险4/10/2026
- 伊朗黑客入侵 FBI 局长私人邮箱:执法者自身的安全困局3/28/2026
- 天涯论坛1.27亿用户记录疑遭泄露:暗网威胁者声称重启日拖库6/4/2026
- Anthropic 获美国政府批准,恢复 Mythos 5 模型对关键基础设施组织的部署6/27/2026
- OpenAI 推出 GPT-5.4-Cyber 网络安全专版,向认证防御者分级开放4/15/2026
- Anthropic 发起 Project Glasswing,联合多家机构用 AI 排查关键软件漏洞4/8/2026
- 谷歌搜索将打击"后退按钮劫持",违规站点面临降权4/14/2026
- Surge 官方回应 VLESS 协议:因非标准 TLS 设计增加维护风险,暂不合并4/14/2026
- Anthropic Mythos 模型引发华尔街紧急会议:AI 网络安全威胁升级4/10/2026
- Chrome DBSC 上线:用硬件绑定让被盗 Cookie 变废纸4/11/2026
- FCC 扩大外国制造路由器禁令范围至移动热点及 CPE4/25/2026
- 黄仁勋公开批评 Amodei、Musk 等人的 AI 末日预言5/4/2026
- Cloudflare 数据揭示 AI 公司对互联网的单向索取4/13/2026