"সুরক্ষা প্রথম" পজিশনিংয়ের সাথে অ্যানথ্রোপিক, যার কোর ডেভেলপমেন্ট টুল ক্লাউড কোডের ওয়েব স্যান্ডবক্স গত পাঁচ মাস ধরে কখনও সত্যিকার অর্থে নিরাপদ ছিল না।
স্বাধীন সিকিউরিটি গবেষক গুয়ান আওনান ২০ মে একটি নতুন গবেষণা প্রকাশ করেন, যাতে প্রকাশ পায় যে Claude Code নেটওয়ার্ক স্যান্ডবক্সে একটি দ্বিতীয় সম্পূর্ণ বাইপাস ভালনারেবিলিটি রয়েছে—একটি SOCKS5 প্রোটোকলের মধ্যে একটি নাল বাইট ইনজেকশন আক্রমণ, যা স্যান্ডবক্সের ভিতরের প্রক্রিয়াগুলিকে ব্যবহারকারীর নীতি দ্বারা স্পষ্টভাবে নিষিদ্ধ যেকোনো হোস্টে অ্যাক্সেস করতে দেয়। এর অর্থ হল, ২০২৫ অক্টোবরে স্যান্ডবক্স ফিচারটি চালুর পর থেকে, প্রায় ৫.৫ মাস এবং ১৩০টি রিলিজের মধ্যে, Claude Code-এর প্রতিটি ভার্সনেই একটি সম্পূর্ণভাবে বাইপাসযোগ্য নিরাপত্তা ত্রুটি রয়েছে। এটি একই গবেষকের একই সুরক্ষা প্রতিরোধের জন্য দ্বিতীয়বারের মতো সম্পূর্ণ বিচ্ছিন্নতা।
অ্যানথ্রোপিকের প্রতিক্রিয়া ছিল নীরবতা: কোনো সুরক্ষা বিজ্ঞপ্তি, কোনো CVE নম্বর, কোনো ব্যবহারকারী নোটিফিকেশন নেই। দুর্বলতাটি ১ এপ্রিলের সংস্করণে নীরবে ঠিক করা হয়েছিল, আপডেট লগে কোনো সুরক্ষা-সংক্রান্ত তথ্য উল্লেখ করা হয়নি। অর্থাৎ, একজন পুরনো সংস্করণ চালানোর সময়, ব্যবহারকারীকে কোনোভাবেই জানা যায়নি যে তাঁর স্যান্ডবক্সটি শুরু থেকেই অকার্যকর।
একই দরজার দুটি চাবি
ক্লড কোড হল এনথ্রোপিক দ্বারা ২০২৫ এর শুরুতে চালু করা একটি এআই প্রোগ্রামিং সহায়ক, যার লক্ষ্য "টার্মিনালের মধ্যে অবস্থিত এআই ইঞ্জিনিয়ার" হওয়া। প্রচলিত চ্যাট-ভিত্তিক কোড পূরণের সাথে তুলনা করলে, ক্লড কোডের ব্যবহারকারীর কোডবেসের পড়া-লেখার অধিকার এবং কমান্ড বাস্তবায়নের ক্ষমতা রয়েছে, যা কোড নেভিগেট করা, ফাইল সম্পাদনা করা, টেস্ট চালানোর মতো অনেকগুলি কাজ স্বয়ংক্রিয়ভাবে সম্পন্ন করতে পারে। এই গভীর হস্তক্ষেপের অর্থ হল অত্যন্ত উচ্চ সুরক্ষা ঝুঁকি—যদি মডেলটি প্রম্পট ইনজেকশন আক্রমণের মাধ্যমে দখলদারি করা হয়, তবে আক্রমণকারীরা ব্যবহারকারীর টার্মিনালের সমতুল্য অধিকার, যা স্থানীয় পরিবেশের চলকগুলি পড়া, যেকোনো সিস্টেম কমান্ড বাস্তবায়ন, অভ্যন্তরীণ নেটওয়ার্কের সম্পদগুলির সাথে অ্যাক্সেস করা, etc.
নিরাপত্তা এবং দক্ষতার ভারসাম্য রক্ষার জন্য, ২০২৫ সালের অক্টোবরে Anthropic ওয়েব স্যান্ডবক্স ফিচার (v2.0.24) চালু করেছে, যা ব্যবহারকারীদের প্রোফাইলের মাধ্যমে ডোমেইন হোয়াইটলিস্ট কনফিগার করে AI-এর এক্সটার্নাল নেটওয়ার্ক অ্যাক্সেস সীমিত করতে দেয়। উদাহরণস্বরূপ, allowedDomains: [“*.google.com”] কনফিগার করার পর, Claude Code শুধুমাত্র Google এবং এর সাবডোমেইনগুলিতেই অ্যাক্সেস করতে পারবে, বাকি সমস্ত ট্রাফিক বন্ধ করে দেওয়া হবে। অফিসিয়াল ডকুমেন্টে প্রতিশ্রুতি দেওয়া হয়েছে: “খালি অ্যারে সমস্ত নেটওয়ার্ক অ্যাক্সেস নিষিদ্ধ বলে বিবেচিত।”
এই মেকানিজমটি একটি SOCKS5 প্রক্সি দ্বারা বাস্তবায়িত হয়: অধীনস্থ স্যান্ডবক্স রানটাইম (@anthropic-ai/sandbox-runtime) প্রক্সি সার্ভার শুরু করে, স্যান্ডবক্সের ভিতরের প্রক্রিয়াগুলি সরাসরি নেটওয়ার্ক কানেকশন শুরু করে না, বরং প্রক্সির মাধ্যমে ফরওয়ার্ড করে, যা settings.json-এ ব্যবহারকারী দ্বারা কনফিগার করা হয়েছে হোয়াইটলিস্টের ভিত্তিতে ডোমেইন ফিল্টারিং করে। অপারেটিং সিস্টেম লেভেলের স্যান্ডবক্সিং মেকানিজম—macOS-এর sandbox-exec, Linux-এর bubblewrap—সঠিকভাবে Agent-কে লোকাল লুপব্যাক ঠিকানায় সীমাবদ্ধ রাখে, এবং আউটবাউন্ড সিদ্ধান্তগুলি সম্পূর্ণরূপে এই SOCKS5 প্রক্সির উপর ছেড়ে দেওয়া হয়।
অ্যানথ্রোপিক-এর অফিসিয়াল ব্লগে প্রদর্শিত Claude Code স্যান্ডবক্স আর্কিটেকচার চিত্র—ব্যবহারকারীর কমান্ড SOCKS/HTTP প্রক্সি দিয়ে ফিল্টার হয়ে স্যান্ডবক্সে পৌঁছায়, যেখানে ফাইল অপারেশন এবং নেটওয়ার্ক অ্যাক্সেস কঠোরভাবে অনুমতি দ্বারা নিয়ন্ত্রিত হয়।
এই প্রক্সি বাস্তবায়নেই সমস্যা রয়েছে। দুটি স্বতন্ত্র সুরক্ষা গবেষণায় প্রমাণিত হয়েছে যে এটিকে সম্পূর্ণভাবে বাইপাস করা যায়।
সময়রেখা আরও গভীর সমস্যাগুলি প্রকাশ করে: 2025 সালের 26 নভেম্বরে প্রকাশিত v2.0.55 প্রথম বাইপাসটি ঠিক করেছিল, কিন্তু দ্বিতীয় বাইপাসটি স্যান্ডবক্স লঞ্চের প্রথম দিন থেকেই বিদ্যমান ছিল এবং এই ভার্সনটিতেও এটি বিদ্যমান ছিল। দুটি ভুল সময়রেখায় পরস্পরকে ছোঁয়াচ্ছে; স্যান্ডবক্স ফিচারটি লঞ্চের প্রথম দিন থেকে শেষ ভুলটি ঠিক হওয়ার পর্যন্ত, কোনো ভার্সনই নিরাপদ ছিল না। Anthropic আনুষ্ঠানিক ব্লগে দাবি করেছে যে স্যান্ডবক্স “নিশ্চিত করে যে প্রম্পট ইনজেকশন ঘটলেও প্রভাবটি সম্পূর্ণভাবে আলাদা থাকবে”, কিন্তু এই দুটি বাইপাসের অস্তিত্ব এই প্রতিশ্রুতির সরাসরি খণ্ডন করে।
"একটি বাহ্যিক রিপোর্ট ভাগ্য। দুটি হল বাস্তবায়নের গুণগত সমস্যা।" — গুয়ান আওনানের গবেষণা রিপোর্টে বলা হয়েছে।
একটি শূন্য বাইটের পূর্ণ বাইপাস
দ্বিতীয় বাইপাসের প্রযুক্তিগত নীতি জটিল নয়, কিন্তু আক্রমণের শৃঙ্খলের সম্পূর্ণতা মনোযোগ দেওয়ার মতো।
ব্যবহারকারী নেটওয়ার্ক হোয়াইটলিস্ট কনফিগার করেছেন, যেমন শুধুমাত্র *.google.com-এ অ্যাক্সেস অনুমোদন করা। Claude Code-এর SOCKS5 প্রক্সি কানেকশন রিকোয়েস্ট পেলে, হোস্টনেমের সাফিক্স মিলানোর জন্য JavaScript-এর endsWith() মেথড ব্যবহার করে। আক্রমণকারীকে শুধুমাত্র হোস্টনেমের মধ্যে একটি নাল বাইট যোগ করতে হবে—attacker-host.com\x00.google.com এই ধরনের স্ট্রিং তৈরি করে। JavaScript নাল বাইটকে একটি সাধারণ UTF-16 ক্যারেক্টার হিসাবে বিবেচনা করে, এবং endsWith(“.google.com”) true প্রদান করে, যার ফলে প্রক্সি অনুমতি দেয়। কিন্তু একই স্ট্রিংটি DNS রিজলভেশনের জন্য নিচের C-ভাষার getaddrinfo() ফাংশনে পাঠানো হলে, নাল বাইটটিকে স্ট্রিংয়ের শেষ চিহ্ন হিসাবে বিবেচনা করা হয়, এবং প্রকৃতপক্ষে attacker-host.com-কেই রিজলভ করা হয়। একই বাইটস, দুটি স্তরের কোডের দ্বারা দুটি ভিন্নভাবে ব্যাখ্যা। ফিল্টারটি মনে করছে আপনি Google-এর সাথে যোগাযোগ করছেন, কিন্তু DNS রিজলভারটি জানে আপনি আক্রমণকারীর সার্ভারের সাথে কানেক্ট হচ্ছেন।
এটি একটি ক্লাসিক “পার্সার বৈষম্য” আক্রমণ, যা 2005 সালে আবিষ্কৃত HTTP রিকোয়েস্ট স্মাগলিং-এর একই প্রযুক্তিগত শ্রেণীভুক্ত (CWE-158 / CWE-436)। এর মূল বিষয় হল যখন একই ডেটা দুটি ভিন্ন বৈষম্যপূর্ণ ব্যাখ্যা নিয়ম সহ উপাদানের মধ্যে দিয়ে যায়, তখন আক্রমণকারী এই বৈষম্যকে ব্যবহার করে একটি স্তরের উপাদানকে “নিরাপদ” বলে সিদ্ধান্ত নিতে বাধ্য করে, অন্যদিকে অন্য স্তরের উপাদানকে “বিপজ্জনক” অপারেশনটি সম্পাদন করতে বাধ্য করে। নেটওয়ার্ক নিরাপত্তা ক্ষেত্রে এই ধরনের দুর্বলতা বারবার দেখা গেছে, এবং মূল শিক্ষা সবসময় একই: যেকোনো স্ট্রিং, যা বিশ্বাসের সীমানা পার হয়, তা কঠোরভাবে নরমালাইজড এবং যাচাইকৃত হতে হবে, শুধুমাত্র উপরের স্তরটি ইতিমধ্যেই পরীক্ষা করেছে বলে বিশ্বাস করা উচিত নয়।
কু অউ নান দুটি ন্যূনতম Node.js স্ক্রিপ্ট ব্যবহার করে ভালনারেবল পুনরুৎপাদন করেছেন: নিয়ন্ত্রণ স্ক্রিপ্টটি সাধারণ হোস্টনেম ব্যবহার করে SOCKS5 কানেকশন শুরু করে এবং BLOCKED ফেরত দেয়; আক্রমণকারী স্ক্রিপ্টটি হোস্টনেমে একটি নাল বাইট ইনজেক্ট করে এবং BYPASSED rep=0x00 ফেরত দেয়—এটি বোঝায় যে প্রক্সি সফলভাবে কানেকশন স্থাপন করেছে এবং আউটবাউন্ড চ্যানেলটি খোলা হয়েছে। Claude Code নিজেই এই ফলাফলটি নিশ্চিত করেছে।
Claude Code v2.1.86-এ চারটি লাল চিহ্নিত ধাপের সম্পূর্ণ ভালোর পুনরাবৃত্তি—স্ট্র্যাটেজি নিশ্চিতকরণ, সাধারণ ব্লকিং, নাল বাইট বাইপাস, Claude-এর নিজস্ব নিশ্চিতকরণ
এই স্যান্ডবক্স বাইপাসটি গুয়ান আওনানের এপ্রিলে প্রকাশিত “কমেন্ট অ্যান্ড কন্ট্রোল” প্রম্পট ইনজেকশন আক্রমণের সাথে যুক্ত হয়ে একটি সম্পূর্ণ আক্রমণ শৃঙ্খল গঠন করে (দেখুন: তিনটি প্রতিরোধ এখনও যথেষ্ট নয়, একটি PR শিরোনামেই আপনার API কী চুরি হতে পারে: AI এজেন্ট নিরাপত্তা ফাঁক পুনরায় দেখা গেল)। “কমেন্ট অ্যান্ড কন্ট্রোল” গবেষণায় প্রমাণিত হয়েছে যে, তিনটি AI প্রোগ্রামিং টুলেই প্রম্পট ইনজেকশনের জন্য আক্রমণের সম্ভাবনা রয়েছে, তবে আক্রমণের প্রবেশদ্বারগুলি ভিন্ন: Claude Code-এর ক্ষেত্রে শুধুমাত্র PR শিরোনামের মাধ্যমে, Gemini CLI-এর ক্ষেত্রে Issue-এর মন্তব্য বা বিষয়বস্তুর মাধ্যমে, এবং Copilot Agent-এর ক্ষেত্রে HTML মন্তব্যের মাধ্যমে লুকিয়ে ইনজেকশন করা হয়। Claude Code-এর ক্ষেত্রে, PR-এর শিরোনামটি সরাসরি প্রম্পট টেমপ্লেটের সাথে সংযুক্ত হয়, কোনও ফিল্টারিং বা এসকেপিংয়ের মাধ্যমে পরিষ্কার করা হয়না, ফলে মডেলটি মানুষের ইচ্ছা এবং কুপ্রয়োগকে চিহ্নিত করতে অক্ষম।
উভয়কে একত্রিত করুন—গোপন নির্দেশ দিয়ে Agent-কে স্যান্ডবক্সে আক্রমণকারী কোড চালানোর জন্য বাধ্য করুন, শূন্য বাইট ইনজেকশন দিয়ে নেটওয়ার্ক ব্লকিং ভাঙুন—এনভায়রনমেন্ট ভেরিয়েবলের API কী, AWS ক্রেডেনশিয়াল, GitHub টোকেন, অভ্যন্তরীণ API এন্ডপয়েন্ট ডেটা ইত্যাদি সবই ইন্টারনেটের যেকোনো সার্ভারে পাঠানো যায়। ডেটা SOCKS5 প্রক্সির মাধ্যমেই বাইরে যায়, আক্রমণের সম্পূর্ণ ধাপে বাহ্যিক সার্ভারের মধ্যস্থতা প্রয়োজন হয় না, আর এই প্রক্সিই হলো ব্যবহারকারীর নিরাপদ সীমানা হিসেবে বিশ্বাস করা উপাদান। আক্রমণকারীদের রিপোজিটরির লিখন অধিকারেরও প্রয়োজন হয় না, শুধুমাত্র একটি পাবলিক Issue জমা দিলেই চলবে। GitHub-এর রেন্ডারড ভিউতে মানুষেরা সাধারণ সহযোগিতামূলক অনুরোধই দেখতে পায়, কিন্তু AI Agent পূর্ণাঙ্গ ম্যালিশিয়াস সোর্স কোডটিই পার্স করে।
ক্লড এমনকি স্বীকার করেছেন: দুর্বলতাটি বাস্তবিক
এই প্রকাশের একটি কী বিস্তারিত আসে Claude Code থেকে। Guan Aonan সরাসরি দুর্বলতা পুনরুৎপাদন কোডটি Claude Code-এর কাছে পাঠিয়েছিলেন এবং এটির জন্য প্রযুক্তিগত বিচার চেয়েছিলেন। Claude Code নিয়ন্ত্রণ পরীক্ষা (সাধারণ হোস্টনেম ব্লক করা হয়েছে) এবং আক্রমণ পরীক্ষা (শূন্য বাইট হোস্টনেম দ্বারা ব্লকিং এড়ানো) চালানোর পরে, এটি স্পষ্ট উপসংহার দিয়েছে:
এটি নেটওয়ার্ক স্যান্ডবক ফিল্টারের একটি প্রকৃত বাইপাস, শুধুমাত্র একটি টেস্ট আর্টিফ্যাক্ট নয়। আপনাকে এই সমস্যাটি https://github.com/anthropics/claude-code/issues-এ Anthropic-এর কাছে রিপোর্ট করা উচিত।
পরীক্ষাধীন পণ্যটি নিজেই দুর্বলতার বাস্তবিকতা এবং গুরুত্ব নিশ্চিত করেছে, এমনকি সক্রিয়ভাবে রিপোর্ট করার পথও প্রদান করেছে। এই বিস্তারিতটি গুয়ান আওনান গবেষণা প্রতিবেদনে সম্পূর্ণভাবে রেকর্ড করেছেন এবং এটিই The Register-এর শিরোনামের উৎস হয়েছে—“Even Claude agrees hole in its sandbox was real and dangerous” (এমনকি Claude-ও স্বীকার করেছেন, এর স্যান্ডবক্সের দুর্বলতাটি বাস্তবিক এবং বিপজ্জনক)।
গুয়ান আওনানের গবেষণা কভার — ক্লড কোড নিজের দুর্বলতা প্রদর্শনের পর স্বীকার করেছে “এটি নেটওয়ার্ক স্যান্ডবক্স ফিল্টারের প্রকৃত বাইপাস”, লাল বক্সে প্রধান স্বীকৃতি বাক্য চিহ্নিত
অ্যানথ্রোপিকের প্রতিক্রিয়া এবং পাঁচ মাসের নীরবতা
দুর্বলতাটি নিজেই চিন্তার বিষয়, কিন্তু Anthropic-এর প্রতিক্রিয়া শিল্পের জন্য আরও বেশি পর্যালোচনার যোগ্য।
2026 এর এপ্রিলের শুরুতে, গুয়ান আওনান হ্যাকারওয়ান ভালনারেবিলিটি বোনাস প্রোগ্রামে (রিপোর্ট নম্বর #3646509) এনথ্রোপিককে স্যান্ডবক্স বাইপাসের একটি বিস্তারিত রিপোর্ট জমা দেন। এনথ্রোপিকের প্রাথমিক প্রতিক্রিয়া ছিল:
আপনার রিপোর্টের জন্য ধন্যবাদ। এই সাবমিশনটি পর্যালোচনার পর, আমরা এটিকে আমাদের ইতিমধ্যে ট্র্যাক করা একটি বিদ্যমান অভ্যন্তরীণ রিপোর্টের ডুপ্লিকেট হিসেবে চিহ্নিত করেছি।
রিপোর্টটি তৎক্ষণাৎ বন্ধ করে দেওয়া হয়েছে। যখন গুয়ান অও সিভিই নম্বর পরিকল্পনা সম্পর্কে জিজ্ঞাসা করেন, তখন অ্যানথ্রোপিক ৭ এপ্রিল উত্তর দেয়:
আমরা এই সমস্যার জন্য কোনো CVE প্রকাশ করা হবে কিনা তা এখনও সিদ্ধান্ত করি নি এবং সেই সিদ্ধান্তের জন্য কোনো সময়সূচী শেয়ার করতে পারছি না।
এরপর ভাজা v2.1.90 সংস্করণে নীরবে সংশোধন করা হয়। কোনো সুরক্ষা ঘোষণা নেই, কোনো CVE নম্বর নেই, Claude Code সুরক্ষা পরামর্শ পৃষ্ঠায় কোনো এন্ট্রি নেই, আপডেট লগে কোনো সুরক্ষা-সম্পর্কিত বিবরণ উল্লেখ করা হয়নি। স্যান্ডবক্সের প্রথম দিন থেকেই বিদ্যমান ছিল এবং 5.5 মাস ধরে প্রায় 130টি সংস্করণকে কভার করেছিল—এই সম্পূর্ণ বাইপাসটি ব্যবহারকারীদের জন্য মনে হয়েছিল যেন এটি কখনওই ঘটেনি।
এই প্রক্রিয়াটি প্রথমবারের মতো ঘটেনি। প্রথম বাইপাস (CVE-2025-66479) এর প্রতিক্রিয়া প্রায় একই ছিল: Anthropic শুধুমাত্র অন্তর্নিহিত লাইব্রেরি @anthropic-ai/sandbox-runtime-এর জন্য CVE প্রদান করেছিল (CVSS স্কোর মাত্র 1.8, “Low”), Claude Code ব্যবহারকারী-সামনের পণ্যের জন্য নয়; আপডেট লগে লেখা ছিল “Fixed proxy DNS resolution” (প্রক্সি DNS রেজোলিউশন ঠিক করা), কোনো সুরক্ষা দুর্বলতার উল্লেখ ছিল না। Guan Aonan এর গবেষণা প্রতিবেদনে এটি উল্লেখ করা হয়েছে: “যখন React Server Components-এ গুরুতর দুর্বলতা দেখা দেয়, React এবং Next.js-এর জন্য আলাদা আলাদা CVE প্রদান করা হয়, Meta এবং Vercel উভয়ই সুরক্ষা বিজ্ঞপ্তি প্রকাশ করে, এবং উভয় সম্প্রদায়কেই পুরোপুরি অবহিত করা হয়। Anthropic ভিন্ন পদ্ধতি বেছে নিয়েছে।” এখনও, “Claude Code Sandbox CVE” অনুসন্ধান করলেও কোনো অফিসিয়াল সুরক্ষা বিজ্ঞপ্তি পাওয়া যায়নি।
অ্যানথ্রোপিক পাসওয়ার্ড চুরির সমস্যার প্রতিক্রিয়ায় ps কমান্ড ব্লক করে, কিন্তু ব্ল্যাকলিস্ট পদ্ধতির মূলতই সীমাবদ্ধতা রয়েছে—একটি কমান্ড ব্লক করলে আক্রমণকারীদের অসংখ্য বিকল্প পথ থাকে। সঠিক পদ্ধতি হলো স্পষ্টভাবে ঘোষণা করা যে Agent-এর কোন কোন টুলসের প্রয়োজন। “কমেন্ট অ্যান্ড কন্ট্রোল” গবেষণায়, অ্যানথ্রোপিক CVSS 9.4 (Critical লেভেল) এ ভালোর মূল্যায়ন করে এটিকে প্রাইভেট বাগ বোনাস প্রোগ্রামে স্থানান্তরিত করে, তবে একজন প্রতিনিধি বলেন “এই টুলটি ডিজাইনের মধ্যে প্রম্পট ইনজেকশনের জন্য সুরক্ষিত হয়নি।” প্রস্তুতকারকগুলি নিজেদের সিস্টেমের নিরাপত্তা ক্ষমতার উপর ডিফল্টভাবে বিশ্বাস রাখে, কিন্তু সিস্টেম আর্কিটেকচারের মধ্যে গভীরতা-ভিত্তিক প্রতিরক্ষা অনুপস্থিত; যখন দুর্বলতা এই অভাবকে প্রকাশ করে, “ডিজাইনের সীমাবদ্ধতা” একটি সুবিধাজনক শ্রেণিবদ্ধকরণ হয়ে ওঠে—এটি সমস্যাকে承认 করে, কিন্তু নিরাপত্তা ঘোষণা প্রকাশের দায়িত্বও কিছুটা এড়িয়ে যায়।
একটি ব্যাপক শিল্প দৃশ্যে, একই সমস্যা শুধুমাত্র Anthropic-এর সীমানা পার হয়নি। এপ্রিলে প্রকাশিত “মন্তব্য ও নিয়ন্ত্রণ” গবেষণায়, Google-এর Gemini CLI এবং Microsoft GitHub-এর Copilot Agent উভয়েরই একই আক্রমণের ক্ষেত্র প্রমাণিত হয়েছে, এবং তিনটি কোম্পানিই এটি স্বীকার করে সংশোধন করেছে, তবে কোনোটিই সুরক্ষা বিজ্ঞপ্তি বা CVE নম্বর প্রকাশ করেনি। Anthropic 100 ডলার পুরস্কার দিয়েছে, Google 1337 ডলার দিয়েছে, এবং GitHub প্রথমে “পরিচিত সমস্যা, পুনরাবৃত্তি করা যাচ্ছে না” বলে রিপোর্টটি বন্ধ করে দেয়, কিন্তু বিপরীত ইঞ্জিনিয়ারিংয়ের প্রমাণ পাওয়ার পর “তথ্যমূলক” লেবেল দিয়ে এটি বন্ধ করে 500 ডলার পুরস্কার দেয়। মোট 1937 ডলার—এবং এই তিনটি পণ্যই Fortune 100-এর বেশিরভাগ কোম্পানিকে কভার করে।
ভুল নিরাপত্তার অনুভূতি নিরাপত্তা ব্যবস্থার অভাবের চেয়ে বেশি ক্ষতিকর। স্যান্ডবক্স ছাড়া ব্যবহারকারীরা জানেন যে তাদের কোনো সীমানা নেই; ক্ষতিগ্রস্ত স্যান্ডবক্স থাকা ব্যবহারকারীরা মনে করেন যে তাদের সীমানা আছে। 5.5 মাসের মধ্যে Claude Code চালু এবং ডোমেইন হোয়াইটলিস্ট কনফিগার করা একটি দল ঝুঁকির কথা জানত না, আপগ্রেডের পর আপডেট লগ দেখে তারা একমাত্র সিদ্ধান্তে পৌঁছায়: স্যান্ডবক্সটি সবসময় সঠিকভাবে কাজ করছিল। এছাড়াও, যখন ভুলটি প্রকাশিত হয়, তখন কোনো নিরাপত্তা ঘোষণা না থাকা ব্যবহারকারীদের জন্য তাদেরকেই প্রভাবিত করেছিল কিনা তা বোঝা অসম্ভব করে তোলে, এবং পিছনের অডিটেরও ভিত্তি অনুপলব্ধ হয়।
এই পরিস্থিতির মুখোমুখি হয়ে, নিরাপত্তা সম্প্রদায় একটি সমঝোতায় পৌঁছেছে: বাণিজ্যিক স্যান্ডবক্স বাস্তবায়নের উপর একক বিশ্বাস রাখা উচিত নয়। Claude Code-এর SOCKS5 প্রক্সি একটি তৃতীয় পক্ষের npm প্যাকেজের উপর ভিত্তি করে তৈরি, যার GitHub-এ মাত্র 10টি Star আছে এবং শেষ কমিট 2024 সালের জুনে হয়েছে; এটি JavaScript এবং C দুটি রানটাইমের মধ্যে নিরাপত্তা সীমানা পার হয়, কিন্তু বিশ্বাসের সীমানায় সবচেয়ে মৌলিক নিয়মিতকরণের অভাব রয়েছে। isValidHost() ফাংশনটি—যা শূন্য বাইট, পারসেন্ট-এনকোডিং, CRLF-এর মতো অবৈধ অক্ষরগুলি অস্বীকার করে—এটি স্যান্ডবক্সটির প্রথমদিনই উপস্থিত হওয়া উচিত। Guan Aonan একটি ব্যবহারিক প্রতিরোধমূলক কাঠামোর প্রস্তাব দিয়েছেন—AI Agent-কে ন্যূনতম অধিকারের নীতির অধীনে থাকা একজন সুপার কর্মচারী হিসেবে বিবেচনা করা, যার মূলভিত্তি হলো একাধিক-স্তরের প্রতিরোধ:
সুরক্ষিত প্রতিষ্ঠা প্রতিটি প্রকাশ এবং প্রতিটি প্যাচের স্বচ্ছতার উপর ভিত্তি করে গড়ে ওঠে, ব্র্যান্ডের বর্ণনার উপর নয়। যখন ব্যবহারকারীরা বিশ্বাসের ভিত্তিতে তাদের ক্রেডেনশিয়ালগুলি Agent-এর হাতে দেয়, তখন প্রস্তুতকারকদের দৃঢ় প্রতিরোধ নিশ্চিত করার এবং এটি ব্যর্থ হলে সময়মতো জানানোর দায়িত্ব রয়েছে। Anthropic Claude Code স্যান্ডবক্সে এই দুটি বিষয়ই পূরণ করেনি।
“স্যান্ডবক্সের সবচেয়ে খারাপ ফলাফল হল কিছু বন্ধ করা নয়, বরং মানুষের মধ্যে একটি মিথ্যা নিরাপত্তার অনুভূতি তৈরি করা। একটি ভেদযোগ্য স্যান্ডবক্স প্রকাশ করা স্যান্ডবক্স প্রকাশ না করার চেয়ে আরও খারাপ।” — গুয়ান আওনান বলেছেন।
(এই লেখাটি প্রথম প্রকাশিত হয়েছে টাইমেট্রো অ্যাপে, লেখক | সিলিকন ভ্যালি Tech_news, সম্পাদক | জিয়াও ইয়ান)
উৎস সূত্র:
1. oddguan.com — দ্বিতীয় বার, একই স্যান্ডবক্স: অন্য এনথ্রোপিক ক্লাউড কোড নেটওয়ার্ক স্যান্ডবক্স বাইপাস ডেটা এক্সফিল্ট্রেশনকে সক্ষম করে (Aonan Guan, 2026.05.20)
2. দ্য রেজিস্টার — এমনকি ক্লডও স্যান্ডবক্সের ফাঁকটি বাস্তব এবং বিপজ্জনক ছিল বলে সম্মত (2026.05.20)