महत्वपूर्ण सुरक्षा विरोधी के साथ Claude Code AI प्रोग्रामिंग टूल पाया गया

सुरक्षा को प्राथमिकता देने वाले Anthropic के मुख्य विकास उपकरण Claude Code का नेटवर्क सैंडबॉक्स पिछले पांच महीनों से कभी वास्तविक रूप से सुरक्षित नहीं रहा है।

स्वतंत्र सुरक्षा शोधकर्ता गुआन आओनान (Aonan Guan) ने 20 मई को एक नवीनतम शोध जारी किया, जिसमें Claude Code के नेटवर्क सैंडबॉक्स में एक दूसरा पूर्ण बाइपास दरार उजागर की गई है—एक SOCKS5 प्रोटोकॉल में नल बाइट इंजेक्शन हमला, जिससे सैंडबॉक्स के भीतर की प्रक्रियाएँ उपयोगकर्ता नीति द्वारा स्पष्ट रूप से प्रतिबंधित किसी भी होस्ट तक पहुँच सकती हैं। इसका मतलब है कि 2025 के अक्टूबर से सैंडबॉक्स सुविधा के लॉन्च होने के बाद से, लगभग 5.5 महीने और 130 प्रकाशन संस्करणों के दौरान, Claude Code का प्रत्येक संस्करण पूर्ण रूप से बाइपास किए जा सकने वाली सुरक्षा कमजोरी से ग्रस्त है। यह एक ही शोधकर्ता द्वारा एक ही सुरक्षा प्रतिरोध के लिए दूसरी पूर्ण छेद की पहचान है।

एंथ्रोपिक ने इसके लिए चुप्पी बरती: कोई सुरक्षा अधिसूचना, कोई CVE नंबर, कोई उपयोगकर्ता अधिसूचना नहीं। दरार को 1 अप्रैल के संस्करण में चुपचाप ठीक कर दिया गया, और अपडेट लॉग में किसी भी सुरक्षा संबंधी जानकारी का उल्लेख नहीं किया गया। इसका मतलब है कि एक उपयोगकर्ता, जो अभी भी पुराने संस्करण का उपयोग कर रहा है, पूरी तरह से अनजान रहेगा कि उसकी सैंडबॉक्स सेटअप मूलतः ही बेकार थी।

Claude Code, जिसे Anthropic ने 2025 की शुरुआत में लॉन्च किया, एक AI प्रोग्रामिंग सहायक है जिसे "टर्मिनल में निवास करने वाला AI इंजीनियर" माना जाता है। पारंपरिक चैट-आधारित कोड कम्पलीशन से अलग, Claude Code के पास उपयोगकर्ता कोडबेस के लिए पढ़ने और लिखने की अनुमति और कमांड निष्पादन क्षमता है, जिससे यह कोड की नेविगेशन, फाइल संपादन, परीक्षण चलाने जैसे कार्यों को स्वयं पूरा कर सकता है। इस गहन हस्तक्षेप का अर्थ है अत्यधिक सुरक्षा जोखिम — यदि मॉडल को प्रॉम्प्ट इंजेक्शन हमले से हाइजैक कर लिया जाए, तो हमलावर को उपयोगकर्ता के टर्मिनल के समान अधिकार प्राप्त होंगे, जिसमें स्थानीय परिवेश चर पढ़ना, कोई भी सिस्टम कमांड निष्पादित करना, और आंतरिक नेटवर्क संसाधनों तक पहुंचना शामिल है।

सुरक्षा और कार्यक्षमता के बीच संतुलन बनाए रखने के लिए, Anthropic ने 2025 अक्टूबर में नेटवर्क सैंडबॉक्स सुविधा (v2.0.24) शुरू की, जिससे उपयोगकर्ता विन्यास फ़ाइल के माध्यम से डोमेन व्हाइटलिस्ट सेट कर सकते हैं और AI के एक्सेक्यूशन एनवायरनमेंट की बाहरी नेटवर्क एक्सेस को सीमित कर सकते हैं। उदाहरण के लिए, allowedDomains: [“*.google.com”] कॉन्फ़िगर करने के बाद, Claude Code केवल Google और उसके सबडोमेन्स तक ही पहुँच सकता है, शेष सभी ट्रैफ़िक को अवरुद्ध कर दिया जाता है। आधिकारिक दस्तावेज़ में स्पष्ट रूप से वादा किया गया है: “खाली अर्रे सभी नेटवर्क एक्सेस को प्रतिबंधित करने के समान है।”

यह तंत्र एक SOCKS5 प्रॉक्सी द्वारा लागू किया जाता है: निचले स्तर का सैंडबॉक्स रनटाइम (@anthropic-ai/sandbox-runtime) प्रॉक्सी सर्वर शुरू करता है, सैंडबॉक्स के भीतर की प्रक्रियाएँ सीधे नेटवर्क कनेक्शन नहीं शुरू करतीं, बल्कि प्रॉक्सी के माध्यम से फ़ोरवर्ड की जाती हैं, जो settings.json में उपयोगकर्ता द्वारा सेट किए गए व्हाइटलिस्ट के आधार पर डोमेन फ़िल्टरिंग करता है। ऑपरेटिंग सिस्टम स्तर के सैंडबॉक्स तंत्र—macOS का sandbox-exec, Linux का bubblewrap—सही ढंग से Agent को स्थानीय लूपबैक पते पर सीमित करते हैं, और आउटबाउंड निर्णय पूरी तरह से इस SOCKS5 प्रॉक्सी को सौंप दिए जाते हैं।

Anthropic की आधिकारिक ब्लॉग पर प्रदर्शित Claude Code सैंडबॉक्स आर्किटेक्चर चित्र—उपयोगकर्ता आदेश SOCKS/HTTP प्रॉक्सी के माध्यम से फ़िल्टर होकर सैंडबॉक्स तक पहुँचते हैं, जहाँ सैंडबॉक्स के भीतर फ़ाइल ऑपरेशन और नेटवर्क एक्सेस को कठोर अनुमति नियंत्रण के अधीन रखा जाता है

समस्या इस प्रॉक्सी के कार्यान्वयन में है। दो स्वतंत्र सुरक्षा अध्ययनों ने साबित किया है कि इसे पूरी तरह से बाईपास किया जा सकता है।

टाइमलाइन गहरी समस्याओं को उजागर करती है: 26 नवंबर, 2025 को जारी v2.0.55 ने पहले बाइपास को ठीक किया, लेकिन दूसरा बाइपास सैंडबॉक्स लॉन्च के पहले दिन से ही मौजूद था, और यह संस्करण अभी भी इसे शामिल करता है। दोनों दुरुपयोग टाइमलाइन में क्रॉस होते हैं, सैंडबॉक्स फीचर के लॉन्च के पहले दिन से लेकर अंतिम दुरुपयोग के ठीक होने तक, कोई भी संस्करण सुरक्षित नहीं था। Anthropic ने अपने आधिकारिक ब्लॉग में दावा किया कि सैंडबॉक्स “यह सुनिश्चित करता है कि भले ही प्रॉम्प्ट इंजेक्शन हो जाए, प्रभाव पूरी तरह से अलग रखा जाए”, लेकिन इन दोनों बाइपास की मौजूदगी इस प्रतिबद्धता को सीधे खारिज करती है।

एक बाहरी रिपोर्ट भाग्य है। दो बार गुणवत्ता समस्या का संकेत है।" — गुआन आओनान की शोध रिपोर्ट में कहा गया है।

दूसरी बार बायपास करने का तकनीकी सिद्धांत जटिल नहीं है, लेकिन हमले की श्रृंखला की पूर्णता पर ध्यान देना चाहिए।

उपयोगकर्ता ने नेटवर्क व्हाइटलिस्ट कॉन्फ़िगर की है, उदाहरण के लिए केवल *.google.com के प्रवेश की अनुमति दी है। Claude Code का SOCKS5 प्रॉक्सी, जब कनेक्शन अनुरोध प्राप्त करता है, तो JavaScript के endsWith() विधि का उपयोग करके होस्टनाम के समाप्ति संयोजन की जांच करता है। हमलावर केवल होस्टनाम में एक शून्य बाइट डालकर attacher-host.com\x00.google.com जैसा स्ट्रिंग बना सकता है। JavaScript शून्य बाइट को एक सामान्य UTF-16 वर्ण के रूप में मानता है, इसलिए endsWith(".google.com") true लौटाता है, और प्रॉक्सी अनुमति दे देता है। लेकिन जब यही स्ट्रिंग DNS रिज़ॉल्यूशन के लिए नीचे के C-भाषा फ़ंक्शन getaddrinfo() में पास की जाती है, तो शून्य बाइट को स्ट्रिंग समाप्ति चिह्न के रूप में माना जाता है, और वास्तव में attacker-host.com का ही DNS रिज़ॉल्यूशन होता है। एक ही बाइट्स, दो स्तरों के कोड द्वारा अलग-अलग तरीके से व्याख्या किए जाते हैं। फ़िल्टर सोचता है कि आप Google पर पहुँच रहे हैं, जबकि DNS रिज़ॉल्वर जानता है कि आप हमलावर के सर्वर से कनेक्ट हो रहे हैं।

यह एक क्लासिक “पार्सर अंतर” हमला है, जो 2005 में पाया गया HTTP रिक्वेस्ट समग्रता के समान तकनीकी श्रेणी में आता है (CWE-158 / CWE-436)। इसकी मूल बात यह है कि जब एक ही डेटा स्ट्रीम दो अलग-अलग सेमेंटिक व्याख्या नियमों वाले कंपोनेंट्स से होकर गुजरती है, तो हमलावर इस अंतर का उपयोग कर सकता है, ताकि एक स्तर कंपोनेंट “सुरक्षित” निर्णय ले, जबकि दूसरा स्तर “खतरनाक” कार्रवाई करे। इस प्रकार के दुरुपयोग साइबर सुरक्षा क्षेत्र में बार-बार देखे गए हैं, और मुख्य सबक हमेशा समान रहा है: किसी भी विश्वास सीमा के पार पारित किए जाने वाले स्ट्रिंग को कठोरता से सामानीकृत और सत्यापित किया जाना चाहिए, और ऊपरी स्तर द्वारा पहले ही जांच किए जाने पर भरोसा नहीं किया जाना चाहिए।

गुआन ऑोनान ने दो न्यूनतम Node.js स्क्रिप्ट्स का उपयोग करके दोष की पुनर्उत्पत्ति की: नियंत्रण स्क्रिप्ट ने सामान्य होस्टनाम का उपयोग करके SOCKS5 कनेक्शन शुरू किया और BLOCKED लौटाया; हमला स्क्रिप्ट ने होस्टनाम में एक शून्य बाइट इंजेक्ट की और BYPASSED rep=0x00 लौटाया—जिसका अर्थ है कि प्रॉक्सी सफलतापूर्वक कनेक्शन स्थापित कर चुकी है और आउटगोइंग चैनल खुल गया है। Claude Code ने स्वयं इस परिणाम की पुष्टि की।

Claude Code v2.1.86 में चार लाल चिह्नित चरणों का पूर्ण दुरुपयोग पुनर्निर्माण — रणनीति पुष्टि, सामान्य अवरोध, शून्य बाइट द्वारा बायपास, Claude की स्वयं की पुष्टि

इस सैंडबॉक्स बाइपास को कुआन ऑनान द्वारा अप्रैल में उजागर किए गए "टिप्पणी और नियंत्रण" प्रॉम्प्ट इंजेक्शन हमले के साथ जोड़ने पर, एक पूर्ण हमला श्रृंखला बन जाती है (देखें: तीन स्तरीय सुरक्षा अभी भी पर्याप्त नहीं है, एक PR शीर्षक से आपका API कुंजी चुरा ली जा सकती है: AI एजेंट सुरक्षा दरार पुनः प्रकट)। "टिप्पणी और नियंत्रण" अध्ययन ने साबित किया है कि तीनों AI प्रोग्रामिंग उपकरणों में प्रॉम्प्ट इंजेक्शन के लिए आक्रमण के माध्यम हैं, लेकिन हमले के प्रवेश बिंदु अलग-अलग हैं: Claude Code केवल PR शीर्षक के माध्यम से, Gemini CLI Issue टिप्पणी या मुख्य लेख के माध्यम से, और Copilot Agent HTML टिप्पणियों का उपयोग करके गुप्त इंजेक्शन करता है। Claude Code के मामले में, इसका PR शीर्षक प्रॉम्प्ट टेम्पलेट में सीधे संलग्न हो जाता है, बिना किसी फ़िल्टरिंग या एस्केपिंग के, जिससे मॉडल मानवीय इच्छा और हानिकारक इंजेक्शन के बीच भेद नहीं कर सकता।

दोनों को मिलाएं—छिपाई गई निर्देश जो Agent को सैंडबॉक्स में हमला कोड चलाने के लिए प्रेरित करती हैं, और अशून्य बाइट इंजेक्शन जो नेटवर्क ब्लॉकिंग को तोड़ देता है—पर्यावरण चर में API कुंजी, AWS पारित्र, GitHub टोकन, आंतरिक API एंडपॉइंट डेटा आदि, सभी इंटरनेट पर किसी भी सर्वर पर भेजे जा सकते हैं। डेटा SOCKS5 प्रॉक्सी के माध्यम से सीधे बाहर निकलता है, और हमले के दौरान किसी बाहरी सर्वर की आवश्यकता नहीं होती, जबकि यह प्रॉक्सी ही उपयोगकर्ता के लिए सुरक्षित सीमा के रूप में विश्वसनीय है। हमलावर को रिपॉजिटरी में लिखने की अनुमति की भी आवश्यकता नहीं होती, केवल एक सार्वजनिक Issue सबमिट करना पर्याप्त है। GitHub के रेंडर्ड दृश्य में मानव समीक्षक सामान्य सहयोगात्मक अनुरोध देखते हैं, जबकि AI Agent पूर्ण कुशल स्रोत कोड को पढ़ता है।

इस अपडेट में एक महत्वपूर्ण विवरण Claude Code से आया। Guan Aonan ने प्रत्यक्ष रूप से दोष पुनर्उत्पन्न करने के लिए कोड Claude Code को दिया और उससे तकनीकी निर्णय मांगा। Claude Code ने नियंत्रण परीक्षण (सामान्य होस्टनाम ब्लॉक किया गया) और हमला परीक्षण (शून्य बाइट होस्टनाम द्वारा ब्लॉकिंग को बाईपास किया गया) के बाद स्पष्ट निष्कर्ष दिया:

यह नेटवर्क सैंडबॉक्स फिल्टर का एक वास्तविक बाइपास है, केवल एक परीक्षण कल्पित वस्तु नहीं। आपको इस समस्या की रिपोर्ट https://github.com/anthropics/claude-code/issues पर Anthropic को करनी चाहिए।

परीक्षण किए गए उत्पाद ने स्वयं दरार की वास्तविकता और गंभीरता की पुष्टि की, और यहां तक कि रिपोर्ट करने का मार्ग भी सक्रिय रूप से प्रदान किया। इस विस्तार को गुआन ऑनान ने अपनी शोध रिपोर्ट में पूरी तरह से दर्ज किया, जिससे The Register के शीर्षक का स्रोत बना — “Even Claude agrees hole in its sandbox was real and dangerous” (यहां तक कि Claude भी सहमत हैं कि उसके सैंडबॉक्स में दरार वास्तविक और खतरनाक थी)।

Guan Aonan research cover — After being shown its own vulnerability, Claude Code admitted, “This is a genuine bypass of the network sandbox filter,” with a red box highlighting the key confirmation statement

वेबसाइट का खुला होना चिंताजनक है, लेकिन Anthropic का इसका प्रबंधन करने का तरीका उद्योग की निगाहों के लिए अधिक महत्वपूर्ण है।

गुआन आओन ने 2026 के अप्रैल के शुरुआत में HackerOne वल्नरेबिलिटी बोनस प्रोग्राम (रिपोर्ट नंबर #3646509) के माध्यम से Anthropic को सैंडबॉक्स बाइपास की विस्तृत रिपोर्ट जमा की। Anthropic की प्रारंभिक प्रतिक्रिया थी:

आपकी रिपोर्ट के लिए धन्यवाद। इस सबमिशन की समीक्षा के बाद, हमने निर्धारित किया है कि यह हमारे द्वारा पहले से ट्रैक किए जा रहे एक मौजूदा आंतरिक रिपोर्ट की डुप्लिकेट है।

रिपोर्ट तुरंत बंद कर दी गई। जब गुआन ऑनान ने CVE नंबर योजना के बारे में पूछा, तो Anthropic ने 7 अप्रैल को जवाब दिया:

हमने अभी तक यह निर्णय नहीं लिया है कि क्या इस मुद्दे के लिए CVE प्रकाशित किया जाएगा और इस निर्णय पर कोई समयसीमा साझा नहीं कर सकते।

इस दरार को v2.1.90 संस्करण में चुपचाप ठीक कर दिया गया। कोई सुरक्षा अधिसूचना नहीं, कोई CVE नंबर नहीं, Claude Code सुरक्षा सुझाव पृष्ठ पर कोई प्रविष्टि नहीं, और अपडेट लॉग में कोई सुरक्षा संबंधी विवरण नहीं। एक ऐसा पूर्ण बाइपास, जो सैंडबॉक्स के पहले दिन से मौजूद था, 5.5 महीने तक चला और लगभग 130 संस्करणों को कवर किया, उपयोगकर्ताओं के लिए ऐसा लगा जैसे यह कभी हुआ ही नहीं।

यह प्रक्रिया पहली बार नहीं देखी गई है। पहली बार बाइपास (CVE-2025-66479) के लिए जवाब लगभग एक जैसा था: Anthropic ने CVE केवल निचले स्तर की पुस्तकालय @anthropic-ai/sandbox-runtime (CVSS स्कोर केवल 1.8, "Low") को आवंटित किया, उपयोगकर्ता-उन्मुख उत्पाद Claude Code को नहीं; अपडेट लॉग में "Fixed proxy DNS resolution" (प्रॉक्सी DNS रिज़ॉल्यूशन ठीक किया गया) लिखा गया, सुरक्षा दुर्बलता का कोई उल्लेख नहीं। गुआन ऑनान ने अपनी शोध रिपोर्ट में इसके बारे में लिखा: "जब React Server Components में गंभीर दुर्बलता आई, तो React और Next.js को अलग-अलग CVE मिले, Meta और Vercel ने सुरक्षा सूचनाएँ जारी कीं, और दोनों समुदायों को पूरी तरह सूचित किया गया। Anthropic ने अलग दृष्टिकोण अपनाया।" अब तक, "Claude Code Sandbox CVE" की खोज करने पर कोई भी आधिकारिक सुरक्षा सूचना नहीं मिलती है।

एंथ्रोपिक ने प्रमाणीकरण चोरी के मुद्दे के जवाब में ps कमांड को ब्लैकलिस्ट कर दिया, लेकिन ब्लैकलिस्टिंग का दृष्टिकोण मूल रूप से कमजोर है—एक कमांड को ब्लैकलिस्ट करने से हमलावर के पास अनगिनत वैकल्पिक मार्ग होते हैं। सही दृष्टिकोण यह है कि स्पष्ट रूप से घोषित किया जाए कि एजेंट को केवल कौन से उपकरणों की आवश्यकता है। "टिप्पणी और नियंत्रण" अध्ययन में, एंथ्रोपिक ने दरार को CVSS 9.4 (गंभीर स्तर) पर रेटिंग दी और इसे प्राइवेट बग बाउंटी प्रोग्राम में स्थानांतरित कर दिया, लेकिन प्रवक्ता ने कहा कि "इस उपकरण को प्रॉम्प्ट इंजेक्शन के लिए सुरक्षित बनाने के लिए डिज़ाइन नहीं किया गया था।" निर्माता स्वयं के सुरक्षा मॉडल पर विश्वास करते हैं, लेकिन सिस्टम आर्किटेक्चर में गहरी सुरक्षा की कमी होती है; जब दरार इस कमी को प्रकट करती है, तो "डिज़ाइन सीमा" एक सुविधाजनक श्रेणी बन जाती है—यह समस्या को मानती है, लेकिन सुरक्षा सूचना प्रकाशित करने की ज़िम्मेदारी से कुछ हद तक मुक्ति प्रदान करती है।

व्यापक उद्योग के संदर्भ में, यह समस्या केवल Anthropic तक सीमित नहीं है। अप्रैल में जारी “टिप्पणियाँ और नियंत्रण” अध्ययन में, Google का Gemini CLI और Microsoft GitHub का Copilot Agent दोनों को एक ही हमला सतह के साथ पुष्टि किया गया, और तीनों कंपनियों ने इसे स्वीकार किया और ठीक कर दिया, लेकिन किसी ने भी सुरक्षा अधिसूचना या CVE संख्या जारी नहीं की। Anthropic ने 100 डॉलर का बोनस दिया, Google ने 1337 डॉलर दिए, और GitHub ने प्रारंभ में “ज्ञात समस्या, पुनर्उत्पन्न नहीं किया जा सका” के साथ रिपोर्ट बंद कर दी, लेकिन विपरीत इंजीनियरिंग साक्ष्य प्राप्त होने के बाद “जानकारीपूर्ण” लेबल के साथ मामला बंद कर दिया और 500 डॉलर प्रदान किए। कुल मिलाकर 1937 डॉलर—और ये तीनों उत्पाद फॉरच्यून 100 में से अधिकांश कंपनियों को कवर करते हैं।

एक झूठी सुरक्षा की भावना बिना किसी सुरक्षा उपाय के से अधिक हानिकारक होती है। बिना सैंडबॉक्स वाले उपयोगकर्ता जानते हैं कि उनके पास कोई सीमा नहीं है; जिनके पास खराब सैंडबॉक्स है, वे सोचते हैं कि उनके पास है। 5.5 महीनों तक, क्लॉड कोड चलाने वाला और डोमेन व्हाइटलिस्ट के साथ कॉन्फ़िगर किया गया एक टीम जोखिम के बारे में अनजान रहा, अपग्रेड के बाद अपडेट लॉग देखकर यह निष्कर्ष निकाला कि सैंडबॉक्स हमेशा सामान्य रूप से काम कर रहा है। इसके अलावा, जब दुर्बलता का पता चला, तो कोई सुरक्षा सूचना न होने का मतलब है कि उपयोगकर्ता नहीं जान पाए कि क्या वे प्रभावित हुए थे, और पीछे की ऑडिट के लिए कोई आधार नहीं है।

इस वर्तमान स्थिति के सामने, सुरक्षा समुदाय एक सहमति में आने लगा है: विनिर्माता के सैंडबॉक्स कार्यान्वयन पर विश्वास को एकल बिंदु पर निर्भर नहीं रखा जा सकता। Claude Code का SOCKS5 प्रॉक्सी 10 GitHub स्टार्स वाले, जिसकी अंतिम सबमिशन जून 2024 में हुई थी, एक तीसरे पक्ष के npm पैकेज पर आधारित है, जिसकी सुरक्षा सीमा JavaScript और C दोनों रनटाइम के बीच फैली हुई है, लेकिन विश्वास के संधि स्थल पर सबसे मूलभूत नियमन की कमी है। ठीक करने के पैच में जोड़े गए isValidHost() फ़ंक्शन — जो खाली बाइट, प्रतिशत-एन्कोडिंग, CRLF जैसे अवैध वर्णों को अस्वीकार करता है — को सैंडबॉक्स के पहले दिन से ही मौजूद होना चाहिए। Guan Aonan ने एक व्यावहारिक सुरक्षा ढांचा प्रस्तावित किया — AI Agent को न्यूनतम अधिकार सिद्धांत का पालन करने वाला सुपर कर्मचारी मानें, जिसका मुख्य आधार बहु-स्तरीय सुरक्षा है:

सुरक्षा की प्रतिष्ठा प्रत्येक उजागर और प्रत्येक पैच की पारदर्शिता पर बनती है, ब्रांड के कथन पर नहीं। जब उपयोगकर्ता विश्वास के आधार पर अपने पार्मिट्स Agent के संसाधनों के लिए सौंपते हैं, तो निर्माता का दायित्व है कि वह सुनिश्चित करे कि रक्षा प्रभावी हो, और जब वह विफल हो जाए, तो उसकी समय पर सूचना दें। Anthropic ने Claude Code सैंडबॉक्स पर इन दोनों बातों को पूरा नहीं किया।

“सैंडबॉक्स का सबसे खराब परिणाम कुछ रोकना नहीं है, बल्कि लोगों को एक झूठी सुरक्षा का अहसास देना है। एक दोषपूर्ण सैंडबॉक्स जारी करना, सैंडबॉक्स जारी न करने से बदतर है।” — गुआन आओनान ने कहा।

(यह लेख पहली बार टाइमेट्रेड ऐप पर प्रकाशित हुआ, लेखक | सिलिकॉन वैली Tech_news, संपादक | जियो यान)

संदर्भ:

1. oddguan.com — दूसरी बार, एक ही सैंडबॉक्स: एक और Anthropic Claude Code Network सैंडबॉक्स बाइपास डेटा निकालने की अनुमति देता है (Aonan Guan, 2026.05.20)

2. द रजिस्टर — यहां तक कि क्लॉड भी सहमत हैं कि उसके सैंडबॉक्स में छेद वास्तविक और खतरनाक था (2026.05.20)