"Güvenlik öncelikli" olarak konumlanan Anthropic, temel geliştirme aracısı Claude Code'un ağ kumandası, son beş aydır asla gerçekten güvenli olmamıştır.
Bağımsız güvenlik araştırmacısı Guan Aonan, 20 Mayıs'ta yaptığı yeni araştırmada, Claude Code ağ kumandasında ikinci tam bir atlatma açıklamasını ortaya koydu—SOCKS5 protokolünde bir sıfır bayt enjeksiyon saldırısı, kumanda içindeki süreçlerin kullanıcı politikaları tarafından açıkça yasaklanan herhangi bir ana makineye erişmesine izin veriyor. Bu, 2025 yılı Ekim ayında kumanda özelliği başlatıldığından bu yana yaklaşık 5,5 ay ve 130 sürüm boyunca, Claude Code'un her sürümünde tamamen atlatılabilir bir güvenlik kusuru bulunduğunu gösteriyor. Bu, aynı araştırmacının aynı savunma hattına yaptığı ikinci tam atlatmadır.
Anthropic’in bununla ilgili yanıtı sessizlikti: hiçbir güvenlik duyurusu, hiçbir CVE numarası, hiçbir kullanıcı bildirimi yoktu. Zafiyet, 1 Nisan sürümünde sessizce düzeltildi ve güncelleme günlüğü hiçbir güvenlik ilgili içeriğe değinmedi. Yani, eski bir sürümü çalıştırmaya devam eden bir kullanıcı, kendi yapılandırdığı kumlu kutunun başından beri boş bir şey olduğunu hiçbir şekilde öğrenememiştir.
Aynı kapının iki anahtarı
Claude Code, Anthropic tarafından 2025 yılının başında piyasaya sürülen bir AI programlama asistanıdır ve "terminalde kalıcı bir AI mühendisi" olarak tanımlanır. Geleneksel sohbet tabanlı kod tamamlamalardan farklı olarak, Claude Code, kullanıcı kod deposuna okuma ve yazma erişimine ve komut yürütme yetkisine sahiptir; kodu gezinme, dosyaları düzenleme, testleri çalıştırma gibi işlemleri kendi başına gerçekleştirebilir. Bu derin katılım, aynı zamanda çok yüksek bir güvenlik riski anlamına gelir—eğer model bir prompt enjeksiyon saldırısıyla ele geçirilirse, saldırgan, yerel ortam değişkenlerini okuma, herhangi bir sistem komutunu yürütme ve dahili ağ kaynaklarına erişme gibi kullanıcı terminaline eşdeğer yetkilere sahip olur.
Güvenlik ve verimlilik dengesini sağlamak amacıyla Anthropic, 2025年10月'ta ağ kum kulesi özelliği (v2.0.24) tanıttı ve kullanıcıların profil aracılığıyla alan adı beyaz listesi ayarlayarak AI yürütme ortamının dış ağ erişimini kısıtlamasını sağladı. Örneğin, allowedDomains: [“*.google.com”] yapılandırıldıktan sonra Claude Code yalnızca Google ve alt alan adlarına erişebilir, diğer tüm trafiği engeller. Resmi belgeler açıkça şunu vaat eder: “Boş dizi, tüm ağ erişimlerinin yasaklanması anlamına gelir.”
Bu mekanizma, bir SOCKS5 proxy ile gerçekleştirilir: Alt seviyeli sandbox çalışma zamanı (@anthropic-ai/sandbox-runtime), proxy sunucusunu başlatır; sandbox içindeki süreçler doğrudan ağ bağlantıları kurmaz, aksine proxy üzerinden yönlendirilir ve proxy, kullanıcı tarafından settings.json dosyasında yapılandırılan beyaz listeye göre alan adı filtrelemesi yapar. İşletim sistemi düzeyindeki sandbox mekanizmaları — macOS'taki sandbox-exec ve Linux'taki bubblewrap — Agent'ı yerel döngü adresine sınırlar ve çıkış kararları tamamen bu SOCKS5 proxy'ye bırakılır.
Anthropic'in resmi blogunda gösterilen Claude Code sandbox mimarisi — kullanıcı komutları, SOCKS/HTTP proxy aracılığıyla filtrelenerek sandbox'a ulaşır; sandbox içindeki dosya işlemleri ve ağ erişimi sıkı izin kontrolleri altındadır
Bu sorun, temsilcinin uygulanmasından kaynaklanmaktadır. İki bağımsız güvenlik araştırması, bunun tamamen atlanabileceğini kanıtlamıştır.
Zaman çizelgesi daha derin sorunları ortaya çıkarıyor: 26 Kasım 2025'te yayınlanan v2.0.55, ilk atlatmayı düzeltti, ancak ikinci atlatma, sandbox'un ilk günden beri var idi ve bu sürüm hâlâ bunu içeriyordu. İki zafiyet zaman çizelgesinde kesişiyor; sandbox özelliği başlatıldığı günden son zafiyet düzeltildiğine kadar hiçbir sürüm güvenli değildi. Anthropic, resmi blogunda sandbox'ın "prompt enjeksiyonu yaşansa bile etkilerin tamamen izole edildiğini garanti ettiğini" ileri sürdü, ancak bu iki atlatmanın varlığı bu taahhüdü doğrudan çürütüyor.
Bir dış rapor şans. İki rapor kalite sorunudur." — Gu Aonan raporu.
Bir boş baytın tam atlatılması
İkinci atlatma tekniğinin temel prensibi karmaşık değil, ancak saldırı zincirinin bütünlüğü dikkat çekici.
Kullanıcı, yalnızca *.google.com erişimine izin vermek gibi bir ağ beyaz listesi yapılandırmıştır. Claude Code'un SOCKS5 proxy'si, bağlantı isteği aldığında, ana bilgisayar adını JavaScript'in endsWith() yöntemiyle son ek eşleştirmesi yapar. Saldırgan, ana bilgisayar adına yalnızca bir boş bayt ekleyerek attacker-host.com\x00.google.com şeklinde bir dize oluşturabilir. JavaScript, boş baytı normal bir UTF-16 karakteri olarak görür ve endsWith(“.google.com”) true döndürür; bu nedenle proxy isteği kabul eder. Ancak aynı dize, DNS çözümlemesi için alt seviyeli C dilindeki getaddrinfo() fonksiyonuna iletilirken, boş bayt bir dize sonu işareti olarak yorumlanır ve aslında attacker-host.com çözümlenir. Aynı bayt dizisi, iki farklı katmanda iki farklı şekilde yorumlanır. Filtre, kullanıcının Google'a eriştiğini düşünürken, DNS çözümleyici kullanıcının saldırganın sunucusuna bağlandığını bilir.
Bu, 2005'te keşfedilen HTTP istek kaçırma ile aynı teknik kategorisine (CWE-158 / CWE-436) ait klasik bir "parser farkı" saldırısıdır. Temelinde, aynı veri akışı, farklı semantik yorum kurallarına sahip iki bileşen üzerinden geçerken, saldırgan bu farkı kullanarak bir katmanın "güvenli" bir karar vermesini, diğer katmanın ise "tehlikeli" bir işlem yapmasını sağlar. Bu tür açıklar, ağ güvenliği alanında tekrar tekrar ortaya çıkmıştır ve ana ders her zaman aynıdır: Herhangi bir güven sınırını geçen dize aktarımı, üst katmanın zaten kontrol ettiğine güvenmek yerine, sıkı bir biçimde normalleştirilmeli ve doğrulanmalıdır.
Guan Aonan, iki küçük Node.js betiği kullanarak açıklığı yeniden oluşturdu: Kontrol betiği, normal bir ana bilgisayar adı kullanarak SOCKS5 bağlantısı kurdu ve BLOCKED döndürdü; saldırı betiği, ana bilgisayar adına boş bayt ekleyerek BYPASSED rep=0x00 döndürdü — bu, proxy'nin başarıyla kurulduğunu ve dışa doğru kanalın açıldığını gösteriyor. Claude Code, bu sonucu doğruladı.
Claude Code v2.1.86'de dört kırmızı ile işaretlenmiş adımın tam açıklanması — Strateji Onayı, Normal Engel, Sıfır Bayt Atlatma, Claude'nin Kendi Onayı
Bu sandbox atlaması, Guaonan'ın Nisan'da açıkladığı "Yorum ve Kontrol" tipi prompt enjeksiyon saldırısı ile birleştirildiğinde, tam bir saldırı zinciri oluşturur (bkz.: Üç katmanlı koruma yeterli değil, bir PR başlığı bile API anahtarınızı çalabilir: AI Agent güvenlik açıkları yeniden ortaya çıktı). "Yorum ve Kontrol" araştırması, üç AI programlama aracının da prompt enjeksiyon saldırı yüzeyine sahip olduğunu kanıtlamıştır, ancak saldırı giriş noktaları farklıdır: Claude Code yalnızca PR başlıkları aracılığıyla, Gemini CLI Issue yorumları veya gövdesi aracılığıyla, Copilot Agent ise gizli enjeksiyonu HTML yorumları kullanarak gerçekleştirir. Claude Code örneğinde, PR başlığı doğrudan prompt şablonuna eklenir, filtrelenmez veya kaçırılmaz; model insan niyetini kötü niyetli enjeksiyonla ayırt edemez.
İkisini birleştirin — gizli komutlar, Agent'ın sandbox içinde saldırı kodunu çalıştırsın, boş bayt enjeksiyonu ile ağ engellerini aşın — ortam değişkenlerindeki API anahtarları, AWS kimlik bilgileri, GitHub belirteçleri, dahili API uç noktaları vb. veriler, herhangi bir internet sunucusuna dışa aktarılabilir. Veriler, SOCKS5 proxy üzerinden doğrudan akar; saldırı tamamen dış sunuculara gerek duymaz ve bu proxy, kullanıcı tarafından güvenli sınır olarak kabul edilen bileşendir. Saldırganın repo yazma iznine bile ihtiyacı yoktur; sadece bir açık Issue göndermek yeterlidir. İnsan inceleyiciler, GitHub render görünümünde normal bir işbirliği isteği görürken, AI Agent tamamen zararlı kaynak kodunu ayrıştırır.
Claude bile açıkların gerçek olduğunu kabul ediyor
Bu açığın bir anahtarı, Claude Code'un kendisinden geliyor. Guan Aonan, açıklığı doğrulama kodunu doğrudan Claude Code'a vererek teknik bir değerlendirme yapmasını istedi. Claude Code, kontrol testini (normal ana bilgisayar adı engellendi) ve saldırı testini (boş bayt ana bilgisayar adı engeli atladı) gerçekleştirdikten sonra net bir sonuç verdi:
Bu, ağ kum havuzu filtresinin bir test artifactsı değil, gerçek bir atlatılmasıdır. Bu sorunu https://github.com/anthropics/claude-code/issues adresinden Anthropic'e bildirmelisiniz.
Test edilen ürün, kendi kendine açıklığın gerçekliğini ve ciddiyetini doğruladı ve hatta raporlama yolunu aktif olarak sağladı. Bu detay, Guan Aonan tarafından araştırma raporunda tam olarak kaydedildi ve The Register'in başlığını oluşturdu — “Even Claude agrees hole in its sandbox was real and dangerous” (Hatta Claude, kum kutusundaki açıklığın gerçek ve tehlikeli olduğunu kabul etti).
Guan Aonan araştırma kapak sayfası — Claude Code, kendi açıklarını gösterdikten sonra “Bu, ağ kum sandığı filtresinin gerçek bir atlatılmasıdır” diye kabul etti; kırmızı çerçeve, kritik onay ifadesini işaretliyor
Anthropic'in yanıtı ve beş aylık sessizlik
Sızıntı kendisi endişe verici olsa da, Anthropic'in yaklaşımı sektör tarafından gözden geçirilmeye değer.
Guan Aonan, 2026 yılının Nisan başlarında HackerOne güvenlik açığı ödüllendirme programı (rapor numarası #3646509) aracılığıyla Anthropic'e ikinci bir sandbox atlatma raporu sundu. Anthropic'in ilk yanıtı şuydu:
Raporunuz için teşekkür ederiz. Bu gönderiyi inceledikten sonra, bu gönderinin zaten takip ettiğimiz mevcut bir dahili raporla çakıştığını tespit ettik.
Rapor hemen kapatıldı. Anthropic, 7 Nisan'da關傲男'nin CVE numarası planı hakkında sorduğunda cevap verdi:
Bu sorun için bir CVE yayınlanıp yayınlanmayacağını henüz kararlaştırmadık ve bu kararla ilgili bir zaman çizelgesi paylaşamıyoruz.
Bu açıklık, v2.1.90 sürümünde sessizce düzeltilmiştir. Güvenlik bildirimi yoktur, CVE numarası yoktur, Claude Code güvenlik önerisi sayfasında hiçbir giriş bulunmamaktadır ve güncelleme günlüğüde herhangi bir güvenlikle ilgili açıklama içermez. Korumalı ortamda ilk günden beri var olan, 5,5 ay boyunca devam eden ve yaklaşık 130 sürümü kapsayan bu tam bir atlatma, kullanıcılar için hiç yaşanmamış gibi görünmüştür.
Bu işlem modeli ilk kez ortaya çıkmadı. İlk atlatma (CVE-2025-66479) için alınan yaklaşım neredeyse tamamen aynıydı: Anthropic, CVE'yi kullanıcıya yönelik ürün olan Claude Code yerine alt yapı kütüphanesi olan @anthropic-ai/sandbox-runtime'a (CVSS puanı sadece 1,8, “Düşük”) atadı; güncelleme günlüğünde “Proxy DNS çözümlemesi düzeltildi” yazıyordu, güvenlik açıklarından bahsedilmedi. Gu Aonan, araştırma raporunda şöyle yazdı: “React Server Components’te ciddi bir güvenlik açığı olduğunda, React ve Next.js ayrı ayrı CVE aldı, Meta ve Vercel güvenlik duyuruları yayınladı ve her iki topluluk da yeterince bilgilendirildi. Anthropic farklı bir yol seçti.” Şu ana kadar “Claude Code Sandbox CVE” araması yapılırsa hiçbir resmi güvenlik duyurusu bulunamıyor.
Anthropic, kimlik bilgisi çalma sorunlarıyla mücadele ederken ps komutunu yasaklamayı seçti, ancak siyah liste yaklaşımının temelde yetersiz olduğu gerçeği: bir komutu yasaklamak, saldırganlara sonsuz sayıda alternatif yol bırakır. Doğru yaklaşım, Agent'in yalnızca hangi araçlara ihtiyaç duyduğunu açıkça belirtmektir. "Yorumlama ve Kontrol" araştırmasında Anthropic, güvenlik açığını CVSS 9.4 (Kritik) seviyesine çıkartıp özel ödül programına aldı, ancak bir sözcü, "bu araç, girişim enjeksiyonuna karşı tasarlanmamıştır" dedi. Üreticiler, kendi sistem güvenliği üzerine varsayımlar yaparlar ancak sistem mimarisinde derinlikli savunma eksikliği vardır; bir açığın bu eksikliği ortaya çıkardığında, "tasarım sınırlaması" kolay bir kategori haline gelir — hem sorunu kabul eder, hem de güvenlik bildirimi yayınlama yükümlülüğünü kısmen hafifletir.
Daha geniş endüstri manzarasında, aynı sorun sadece Anthropic ile sınırlı değil. Nisan'da açıklanan "Yorum ve Kontrol" araştırmasında, Google'ın Gemini CLI'si ve Microsoft GitHub'ın Copilot Agent'ı aynı saldırı yüzeyine sahip olduğu doğrulandı; üç şirket de sorunu onardı ancak hiçbirisi güvenlik duyurusu veya CVE numarası yayınlamadı. Anthropic 100 dolar ödül ödedi, Google 1337 dolar ödedi, GitHub ise raporu "bilinen bir sorun, tekrarlanamıyor" diyerek kapattı; tersine mühendislik kanıtları alındıktan sonra "bilgilendirme" etiketiyle kapatıp 500 dolar ödedi. Toplamda 1937 dolar—bu üç ürün, Fortune 100 listesindeki şirketlerin çoğunu kapsıyor.
Yanlış güvenlik duygusu, güvenlik önlemleri olmamasından daha zararlıdır. Sandık olmayan kullanıcılar, sınırları olmadıklarını bilir; bozuk bir sandığa sahip olan kullanıcılar ise kendi sınırları olduğunu sanır. Claude Code'u çalıştıran ve bir alan adı beyaz listesi yapılandıran bir ekip, 5,5 ay boyunca riskten habersiz kaldı ve yükseltme sonrası güncelleme günlüğüne baktığında, sandığın her zaman düzgün çalıştığını sonucuna varmıştır. Ayrıca, güvenlik açıkları açıklandığında, hiçbir güvenlik duyurusu bulunmaması, kullanıcıların kendi hesaplarının etkilenip etkilenmediğini anlamasını ve geriye dönük denetim yapabilmesini imkânsız hale getirmiştir.
Bu durum karşısında güvenlik topluluğu, güveni üreticinin kum kafes uygulamasına tek noktada odaklamamanın gerekli olduğuna dair bir fikir birliğine vardı. Claude Code'un SOCKS5 proxy'si, yalnızca 10 GitHub yıldızına sahip ve son gönderimi Haziran 2024'te kalmış olan üçüncü taraf bir npm paketi üzerine kuruludur; güvenlik sınırı JavaScript ve C olmak üzere iki farklı çalışma zamanı arasında uzanır, ancak güvenin kesişim noktasında en temel standartlaştırma işlemleri eksiktir. Eklenen isValidHost() işlevi — boş bayt, yüzdelik kodlama, CRLF gibi yasak karakterleri reddetmekten sorumlu — kum kafesin ilk günden itibaren bulunmalıydı. Guan Aonan, AI Agent'ı en az yetki ilkesine uymak zorunda olan süper bir çalışan olarak gören pratik bir savunma çerçevesi önerdi; temel prensip çok katmanlı savunmadır:
Güvenilirlik, marka hikayesi değil, her bir açıklamada ve her bir düzeltmede şeffaflıkla inşa edilir. Kullanıcılar, kimlik bilgilerini Agent tarafından işlenmesi için güvene dayanarak verdiğinde, üreticinin savunmaların etkili olduğundan emin olma ve başarısız olduğunda zamanında bildirme yükümlülüğü vardır. Anthropic, Claude Code kum havuzunda bu iki yükümlülüğü de yerine getiremedi.
“Sandbox’ın en kötü sonucu, bir şeyi engellemek değil, insanlara yanlış bir güvenlik duygusu vermek. Güvenlik açıkları olan bir sandbox yayınlamak, sandbox yayınlamamaktan daha kötü.” — Guan Aonan ifade etti.
(Makale ilk olarak Titanium Media APP'de yayınlandı, yazar | Silicon Valley Tech_news, editör | Jiao Yan)
Kaynaklar:
1. oddguan.com — İkinci Kez, Aynı Sandbox: Başka bir Anthropic Claude Code Network Sandbox atlatma, veri dışa aktarmayı mümkün kılar (Aonan Guan, 2026.05.20)
2. The Register — Hatta Claude, kum havuzundaki deliğin gerçek ve tehlikeli olduğunu kabul ediyor (2026.05.20)