کلود کوڈ AI پروگرامنگ ٹول میں بڑی سیکیورٹی کمزوری دریافت ہوئی

"سیکورٹی پہلے" کے مقصد کے ساتھ متعارف کرائے گئے Anthropic کے مرکزی ڈویلپمنٹ ٹول، Claude Code کا ویب سینڈ باکس پچھلے پانچ ماہ سے کبھی بھی حقیقی طور پر محفوظ نہیں رہا۔

مستقل سیکورٹی ریسرچر گوان آوان (Aonan Guan) نے 20 مئی کو ایک نئی تحقیق جاری کی، جس میں کلوڈ کوڈ نیٹ ورک سینڈ باکس میں ایک دوسرا مکمل بائی پاس وولنریبیلٹی درج کیا گیا — ایک SOCKS5 پروٹوکول میں نل بائٹ انجیکشن حملہ، جو سینڈ باکس کے اندر کے پروسیسز کو صارف کے پالیسی کے ذریعہ واضح طور پر منع کردہ کسی بھی ہوسٹ تک رسائی دے سکتا ہے۔ اس کا مطلب ہے کہ اکتوبر 2025 سے سینڈ باکس فنکشن لانچ ہونے کے بعد تقریباً 5.5 ماہ اور 130 رلیزز کے دوران، کلوڈ کوڈ کا ہر ورژن مکمل طور پر بائی پاس ہونے والی سیکورٹی خامی سے متاثر تھا۔ یہ ایک ہی ریسرچر کا ایک ہی دفاعی لائن پر دوسرا مکمل بائی پاس ہے۔

اینٹروپک کی طرف سے اس کا جواب خاموشی تھی: کوئی سیکیورٹی ایڈوائزری، کوئی CVE نمبر، کوئی صارف نوٹیفیکیشن نہیں۔ خرابی کو 1 اپریل کے ورژن میں خاموشی سے درست کر دیا گیا، جس کا اپڈیٹ لاگ میں کوئی سیکیورٹی متعلقہ حوالہ نہیں دیا گیا۔ یعنی، ایک صارف جو اب بھی پرانا ورژن چلا رہا ہے، اسے مکمل طور پر معلوم نہیں ہو سکتا کہ اس کے سینڈ باکس کا آغاز سے ہی کوئی فائدہ نہیں تھا۔

کلود کوڈ اینثروپک نے 2025 کے شروع میں ایک AI پروگرامنگ اسسٹنٹ کے طور پر جاری کیا، جس کا مقصد "ٹرمینل میں رہنے والا AI انجینئر" ہے۔ روایتی چیٹ-بنیادی کوڈ مکمل کرنے کے برعکس، کلود کوڈ کے پاس صارف کے کوڈ بیس تک پڑھنے اور لکھنے کا اجازت اور حکم نفاذ کی صلاحیت ہے، جس سے وہ کوڈ کی نیویگیشن، فائلز میں تبدیلی، ٹیسٹ چلانے جیسے کاموں کو خودکار طور پر مکمل کر سکتا ہے۔ اس گہری مداخلت کا مطلب یہ بھی ہے کہ اس میں بہت زیادہ سیکورٹی خطرہ ہے — اگر ماڈل کو پرومپٹ انجیکشن حملے کے ذریعے قبضہ کر لیا جائے، تو حملہ آور صارف کے ٹرمینل کے برابر اجازتوں تک پہنچ جائے گا، جس میں مقامی ماحولیاتی متغیرز کو پڑھنا، کوئی بھی سسٹم حکم نفاذ کرنا، اور اندر کے نیٹ ورک وسائل تک رسائی شامل ہے۔

سیکورٹی اور کارکردگی کے درمیان توازن کے لیے، Anthropic نے اکتوبر 2025 میں نیٹ ورک سینڈ باکس فیچر (v2.0.24) متعارف کرایا، جس سے صارفین فائل کنفیگریشن کے ذریعے ڈومین وائٹ لسٹ تعریف کر سکتے ہیں اور AI کے باہری نیٹ ورک رسائی کو محدود کر سکتے ہیں۔ مثال کے طور پر، allowedDomains: [“*.google.com”] کنفیگر کرنے کے بعد، Claude Code صرف Google اور اس کے سب ڈومینز تک ہی رسائی رکھ سکتا ہے، باقی تمام ٹریفک کو روک دیا جاتا ہے۔ آفیشل دستاویز میں واضح طور پر وعدہ کیا گیا ہے: “خالی صف تمام نیٹ ورک رسائی کو منع کرنے کے برابر ہے۔”

یہ مکانیت ایک SOCKS5 پروکسی کے ذریعے حاصل کی جاتی ہے: نیچے کا سینڈ باکس رن ٹائم (@anthropic-ai/sandbox-runtime) پروکسی سرور شروع کرتا ہے، سینڈ باکس کے اندر کے پروسیسز براہ راست نیٹ ورک کنکشنز نہیں بناتے بلکہ پروکسی کے ذریعے فارورڈ ہوتے ہیں، جو settings.json میں صارف کی طرف سے ترتیب دیے گئے وائٹ لسٹ کے مطابق ڈومین فلٹرنگ کرتا ہے۔ آپریٹنگ سسٹم کے سطح پر سینڈ باکس مکانیت — macOS کا sandbox-exec، Linux کا bubblewrap — Agent کو لوکل لوب بیک ایڈریس پر محدود کرتی ہے، اور باہر نکلنے کے فیصلے مکمل طور پر اس SOCKS5 پروکسی کو سونپ دیے جاتے ہیں۔

Anthropic کے سرکاری بلاگ میں پیش کیا گیا Claude Code سینڈ باکس ارکیٹیکچر — صارف کے حکمات SOCKS/HTTP پروکسی کے ذریعے فلٹر ہو کر سینڈ باکس تک پہنچتے ہیں، جہاں فائل کے عمل اور نیٹ ورک تک رسائی کو سخت اجازتوں کے تحت کنٹرول کیا جاتا ہے

مسئلہ اس ایجنت کے عمل کرنے میں ہے۔ دو الگ الگ سیکورٹی تحقیقات نے ثابت کیا ہے کہ اسے مکمل طور پر دور کیا جا سکتا ہے۔

ٹائم لائن سے گہری مسائل کا پتہ چلتا ہے: v2.0.55 کو 26 نومبر 2025 کو جاری کیا گیا تھا جس میں پہلا بائی پاس درست کیا گیا تھا، لیکن دوسرا بائی پاس سینڈ باکس کے شروع ہونے کے دن سے موجود تھا اور اس ورژن میں بھی موجود رہا۔ دونوں خامیاں ٹائم لائن میں آپس میں ملتی ہیں، سینڈ باکس فیچر کے شروع ہونے کے دن سے لے کر آخری خامی کے درست ہونے تک کوئی بھی ورژن محفوظ نہیں تھا۔ Anthropic نے اپنے باقاعدہ بلاگ میں دعویٰ کیا تھا کہ سینڈ باکس "یقینی بناتا ہے کہ اگر پرامپٹ انجیکشن واقع ہو بھی جائے تو اس کا اثر مکمل طور پر علیحدہ رہے"، لیکن ان دونوں بائی پاسز کے وجود نے اس وعدے کو براہ راست منسوخ کر دیا۔

"ایک بار کی باہری رپورٹ کسمرت ہے۔ دو بار کی رپورٹ منصوبہ بندی کی معیاری مسئلہ ہے۔" — گوان آون کی رپورٹ میں۔

دوسرے بائی پاس کی ٹیکنیکل اصول آسان ہے، لیکن حملے کی سلسلہ واری کا خیال رکھنا ضروری ہے۔

صارف نے نیٹ ورک وائٹ لسٹ کنفیگ کر رکھی ہے، مثلاً صرف *.google.com تک رسائی کی اجازت دی گئی ہے۔ Claude Code کا SOCKS5 پروکسی جب کنکشن کا درخواست حاصل کرتا ہے، تو میزبان کے نام کے لیے JavaScript کے endsWith() طریقہ استعمال کرتا ہے۔ حملہ آور صرف میزبان کے نام میں ایک خالی باٹ (null byte) درج کر دیتا ہے — جیسے attacker-host.com\x00.google.com۔ JavaScript خالی باٹ کو عام UTF-16 کردار سمجھتا ہے، اور endsWith(“.google.com”) سچا (true) واپس کرتا ہے، جس سے پروکسی اجازت دے دیتا ہے۔ لیکن جب یہی سٹرنگ نیچے C زبان کے فنکشن getaddrinfo() تک پہنچتی ہے جو DNS ریزولوشن کے لیے استعمال ہوتا ہے، تو خالی باٹ سٹرنگ کا خاتمہ سمجھا جاتا ہے، اور اصل میں صرف attacker-host.com ریزولو ہوتا ہے۔ ایک ہی بائٹس سلسلہ، دو مختلف لیئرز پر دو مختلف تشریحات دیتا ہے۔ فلٹر سمجھتا ہے کہ آپ Google تک رسائی حاصل کر رہے ہیں، جبکہ DNS ریزولور جانتا ہے کہ آپ حملہ آور کے سرور سے جڑ رہے ہیں۔

یہ ایک کلاسیکی "پارسر فرق" حملہ ہے، جو 2005 میں دریافت ہونے والے HTTP ریکسٹ سمنگ کے ایک ہی ٹیکنالوجی کیٹیگری سے تعلق رکھتا ہے (CWE-158 / CWE-436)۔ اس کا بنیادی تقاضہ یہ ہے کہ جب ایک ہی ڈیٹا دو مختلف سیمانٹک تشریح کے قوانین والے کمپوننٹس سے گزرے، تو حملہ آور اس فرق کا فائدہ اٹھا سکتا ہے تاکہ ایک لیئر کمپوننٹ "محفوظ" فیصلہ کرے، جبکہ دوسری لیئر "خطرناک" آپریشن انجام دے۔ اس قسم کے خامیاں سائبر سیکورٹی کے شعبے میں بار بار ظاہر ہوتی رہی ہیں، اور بنیادی سبق ہمیشہ ایک ہی رہا ہے: کسی بھی ٹرسٹ بارڈر کو عبور کرنے والے سٹرنگ کو سخت نارملائزیشن اور تصدیق کی ضرورت ہوتی ہے، نہ کہ یہ فرض کرنا کہ اوپر والے لیئر نے پہلے ہی جانچ لے لی ہے۔

گو آون نے دو چھوٹے Node.js اسکرپٹس کے ذریعے خرابی کی دوبارہ تجربہ کیا: کنٹرول اسکرپٹ نے عام ہوسٹ نام کے ساتھ SOCKS5 کنکشن شروع کیا اور BLOCKED واپس کیا؛ حملہ کرنے والا اسکرپٹ نے ہوسٹ نام میں خالی بائٹ شامل کی اور BYPASSED rep=0x00 واپس کیا — جس کا مطلب ہے کہ پروکسی کامیابی سے کنکشن قائم ہو گیا ہے اور آؤٹگوئنگ چینل کھل گیا ہے۔ Claude Code نے خود اس نتیجے کی تصدیق کی۔

کلود کوڈ v2.1.86 میں چار سرخ نشان زد قدم کی مکمل خرابی کی دوبارہ تشخیص — اسٹریٹجی تصدیق، عام روک، خالی بائٹس سے بچنا، اور کلود کی خود تصدیق

اور اس سینڈ باکس بائی پاس کو کوان ناونگ نے اپریل میں درج کیا گیا "کمنٹ اینڈ کنٹرول" پرومپٹ انجیکشن حملہ جس کے ساتھ جوڑا گیا، وہ مکمل حملہ چین بن جاتا ہے (دیکھیں: تین سطحی تحفظ بھی کافی نہیں، صرف ایک PR عنوان آپ کے API کلید چوری کر سکتا ہے: AI ایجینٹ سیکیورٹی خلّل دوبارہ ظاہر)۔ "کمنٹ اینڈ کنٹرول" تحقیق نے ثابت کیا ہے کہ تینوں AI پروگرامنگ ٹولز میں پرومپٹ انجیکشن کے لیے حملے کے امکانات موجود ہیں، لیکن حملے کے دروازے مختلف ہیں: Claude Code صرف PR عنوان کے ذریعے، Gemini CLI Issue کمنٹس یا متن کے ذریعے، اور Copilot Agent HTML کمنٹس کا استعمال کرتا ہے تاکہ پوشیدہ انجیکشن حاصل کرے۔ Claude Code کے معاملے میں، اس کا PR عنوان براہ راست پرومپٹ ٹیمپلیٹ میں جُڑ جاتا ہے، بغیر فلٹر یا اسکیپنگ کے، جس سے ماڈل انسانی مقصد اور برے ارادوں والے انجیکشن میں فرق نہیں کر سکتا۔

دونوں کو ملا دیں — چھپائی ہوئی ہدایات کے ذریعے ایجینٹ کو سینڈ باکس میں حملہ کوڈ چلانے کی اجازت دیں، اور خالی باٹس کی انجیکشن کے ذریعے نیٹ ورک بلاک کو توڑ دیں — ماحولیاتی متغیر میں API کلید، AWS اعتماد نامہ، GitHub ٹوکن، اندرونی API اینڈ پوائنٹ ڈیٹا وغیرہ، تمام کو انٹرنیٹ پر کسی بھی سرور تک بھیجا جا سکتا ہے۔ ڈیٹا SOCKS5 پروکسی کے ذریعے خارج ہوتا ہے، اور حملہ مکمل طور پر باہری سرور کے بغیر ہوتا ہے، جبکہ یہ پروکسی صارف کے لیے محفوظ حد کا حصہ ہے۔ حملہ آور کو ریپوزٹری میں لکھنے کا اختیار بھی درکار نہیں، صرف ایک عوامی Issue جمع کرانا کافی ہے۔ انسانی جانچ کار GitHub کے رینڈرڈ ویو میں عام تعاون کا درخواست دیکھتے ہیں، جبکہ AI ایجینٹ مکمل برتن شدہ برائی کوڈ کو پڑھتا ہے۔

اس اطلاعیہ میں ایک اہم تفصیل کلوڈ کوڈ خود سے آئی۔ گوان آو نے براہ راست منفی کوڈ کلوڈ کوڈ کو چلانے کے لیے دیا اور اس سے ٹیکنیکل جائزہ مانگا۔ کلوڈ کوڈ نے کنٹرول ٹیسٹ (عام ہوسٹ نام بلاک ہو گیا) اور حملہ ٹیسٹ (خالی بائٹس کے ہوسٹ نام سے بلاک کو دور کرنا) کے بعد واضح نتیجہ دیا:

یہ نیٹ ورک سینڈ باکس فلٹر کا اصلی دورزدہ ہے، صرف ایک ٹیسٹ آرٹی فیکٹ نہیں۔ آپ کو اس مسئلے کی رپورٹ https://github.com/anthropics/claude-code/issues پر Anthropic کو کرنی چاہیے۔

ٹیسٹ کیے گئے پروڈکٹ نے خود ہی خرابی کی حقیقت اور شدت کی تصدیق کی، اور اس نے خود ہی رپورٹ کرنے کا طریقہ بھی فراہم کیا۔ یہ تفصیل گوان آون نے اپنی رپورٹ میں مکمل طور پر درج کی، اور یہی تفصیل The Register کے عنوان کا ذریعہ بنی — “Even Claude agrees hole in its sandbox was real and dangerous”

گوان آو نان کا تحقیقی کور: کلوڈ کوڈ کو اپنی خامیوں کو ظاہر کرنے کے بعد، اس نے "یہ نیٹ ورک سینڈ باکس فلٹر کا اصلی طریقے سے دور کرنا ہے" کا اعتراف کیا، جس میں اہم تصدیقی جملوں کو سرخ باکس سے نشان زد کیا گیا ہے

خرابی خود فکر کا سبب ہے، لیکن Anthropic کا طریقہ کار صنعت کی نظر کا متقاضی ہے۔

کاؤ آن نے 2026ء کے اپریل کے شروع میں HackerOne خامی انعام منصوبہ (رپورٹ نمبر #3646509) کے ذریعے Anthropic کو سینڈ باکس بائی پاس کی تفصیلی رپورٹ جمع کرائی۔ Anthropic کا ابتدائی جواب تھا:

آپ کی رپورٹ کے لیے شکریہ۔ اس جمع کرانے کا جائزہ لینے کے بعد، ہم نے یہ طے کیا ہے کہ یہ ایک ایسا دوہرا رپورٹ ہے جس کا ہم پہلے سے ٹریک کر رہے ہیں۔

رپورٹ فوراً بند کر دی گئی۔ جب گوان ہاؤنان نے CVE نمبر کے منصوبے کے بارے میں پوچھا، تو Anthropic نے 7 اپریل کو جواب دیا:

ہم اب تک فیصلہ نہیں کیا ہے کہ کیا اس مسئلے کے لیے CVE جاری کیا جائے گا اور اس فیصلے کے لیے کوئی ٹائم لائن شیئر نہیں کر سکتے۔

اس کے بعد اس کمزوری کو v2.1.90 ورژن میں خاموشی سے درست کر دیا گیا۔ کوئی سیکیورٹی اعلان نہیں، کوئی CVE نمبر نہیں، Claude Code سیکیورٹی سفارشات کے صفحے پر کوئی داخلہ نہیں، اور اپڈیٹ لاگ میں کوئی سیکیورٹی متعلقہ تفصیل نہیں۔ ایک ایسا مکمل بائپاس جو سینڈ باکس کے شروع ہونے کے دن سے موجود تھا، جو 5.5 ماہ تک جاری رہا اور تقریباً 130 ورژنز پر مشتمل تھا، صارفین کے لیے ایسے لگا جیسے وہ کبھی نہ ہوا ہو۔

یہ عمل پہلی بار نہیں ہوا۔ پہلی بار بائی پاس (CVE-2025-66479) کا جواب تقریباً اسی طرح تھا: Anthropic نے CVE صرف لائبریری @anthropic-ai/sandbox-runtime کو دیا (CVSS اسکور صرف 1.8، "کم")، نہ کہ صارفین کے لیے مصنوعات Claude Code کو؛ اپڈیٹ لاگ میں "پروکسی DNS ریزولوشن فکس کیا گیا" لکھا گیا، سیکورٹی خامی کا ذکر نہیں کیا گیا۔ گوان ہاؤنان نے اپنی رپورٹ میں لکھا: "جب React Server Components میں سنگین خامی پائی گئی تو React اور Next.js کو الگ الگ CVE ملے، Meta اور Vercel نے دونوں نے سیکورٹی اعلان جاری کیے، اور دونوں کمیونٹیز کو مکمل طور پر آگاہ کیا گیا۔ Anthropic نے الگ طریقہ اختیار کیا۔" اب تک، "Claude Code Sandbox CVE" تلاش کرنے پر کوئی بھی سرکاری سیکورٹی اعلان نہیں ملا۔

اینٹھروپک نے سرٹیفیکیٹ چوری کے مسئلے کے جواب میں ps کمانڈ کو بلاک کرنے کا فیصلہ کیا، لیکن سیاہ فہرست کا خیال اپنے آپ میں کمزور ہے — ایک کمانڈ بلاک کرنا، حملہ آور کو لاکھوں متبادل راستے فراہم کرتا ہے۔ صحیح طریقہ یہ ہے کہ واضح طور پر بیان کیا جائے کہ ایجنٹ کو صرف کون سے ٹولز درکار ہیں۔ اور "ٹِپنی اور کنٹرول" تحقیق میں، اینٹھروپک نے خرابی کو CVSS 9.4 (اہم) درجہ دیا اور اسے پرائیویٹ بونس پروگرام میں منتقل کر دیا، لیکن ترجمان نے کہا کہ "اس ٹول کو ڈیزائن کرتے وقت پرومپٹ انجیکشن کے لیے مضبوط بنایا نہیں گیا تھا"۔ فرماﺅں اپنے مصنوعات کی حفاظتی صلاحیتوں پر ڈھل جاتے ہیں، لیکن سسٹم آرکٹیکچر میں گہرائی والی حفاظت کا فقدان ہوتا ہے؛ جب خرابی اس کمی کو ظاہر کرتی ہے، تو "ڈیزائن کی حدود" ایک آسان طبقہ بن جاتی ہے — یہ مسئلہ کو تسلیم تو کرتا ہے، لیکن سیکورٹی اعلان جاری کرنے کے فرض سے کسی حد تک نجات دلاتا ہے۔

زیادہ وسیع صنعتی منظر میں، یہی مسئلہ صرف Anthropic تک محدود نہیں ہے۔ اپریل میں جاری کیے گئے "تجزیہ اور کنٹرول" تحقیق میں، Google کا Gemini CLI اور Microsoft GitHub کا Copilot Agent دونوں کو ایک ہی حملے کے اسکوپ میں پایا گیا، جن میں تینوں کمپنیوں نے مسئلہ تصدیق کیا اور درست کیا، لیکن کسی نے بھی سیکورٹی اعلان یا CVE نمبر جاری نہیں کیا۔ Anthropic نے 100 ڈالر کا انعام دیا، Google نے 1337 ڈالر دیے، اور GitHub نے شروع میں "معلوم مسئلہ، دوبارہ نہیں کیا جا سکا" کے حوالے سے رپورٹ بند کر دی، لیکن ریورس انجینئرنگ کے ثبوت ملنے کے بعد اسے "معلوماتی" لیبل دے کر بند کر دیا اور 500 ڈالر انعام دیا۔ مجموعی طور پر 1937 ڈالر — اور یہ تینوں پروڈکٹس فورچن 100 کمپنیوں میں سے زیادہ تر کو کور کرتے ہیں۔

غلط محسوس کیا جانے والا محفوظ ماحول، کسی بھی محفوظ اقدامات کے نہ ہونے سے زیادہ نقصان دہ ہوتا ہے۔ بے سینڈ باکس والے صارفین جانتے ہیں کہ ان کے پاس کوئی حدود نہیں ہیں؛ جبکہ خراب سینڈ باکس والے صارفین سمجھتے ہیں کہ ان کے پاس ہیں۔ ایک ٹیم جس نے Claude Code چلایا اور ڈومین وائٹ لسٹ کنفیگر کی، 5.5 ماہ تک خطرے کے بارے میں مکمل طور پر ناگھر تھی، اور اپ گریڈ کے بعد اپڈیٹ لاگ دیکھ کر صرف یہ نتیجہ نکالا کہ سینڈ باکس ہمیشہ درست طریقے سے کام کر رہا تھا۔ علاوہ ازیں، جب خامی کا انکشاف ہوا تو کوئی سیکورٹی ایڈوائزری نہ ہونے کی وجہ سے صارفین نہیں جان سکے کہ کیا ان پر اثر پڑا تھا، اور نہ ہی ان کے پاس واپس جانچ کے لیے کوئی بنیاد تھی۔

اس حالت کے سامنے، سیکورٹی کمیونٹی کا ایک متفقہ رائے بن رہا ہے کہ قابلِ اعتماد صرف فرما کے سینڈ باکس کے عمل کردار پر مبنی نہیں ہونا چاہیے۔ Claude Code کا SOCKS5 پروکسی ایک تیسری طرف کے npm پیکیج پر ڈالا گیا ہے جس کے صرف 10 GitHub Stars ہیں اور آخری اپڈیٹ جون 2024 تک محدود ہے، جبکہ اس کی سیکورٹی سرحد JavaScript اور C دونوں رن ٹائمز کو عبور کرتی ہے، لیکن اعتماد کے تقسیم کے نقطے پر بنیادی تعمیراتی معیارات کا فقدان ہے۔ اصلاحی پچ میں شامل کیا گیا isValidHost() فنکشن — جو خالی بائٹس، فیصد اینکوڈنگ، CRLF جیسے غیر قانونی کرداروں کو مسترد کرنے کے لیے ذمہ دار ہے — اسے سینڈ باکس کے شروع ہونے کے دن سے ہی موجود ہونا چاہیے تھا۔ گوان آون نے ایک عملی دفاعی فریم ورک پیش کیا — جس میں AI Agent کو اقل ترین اختیارات کے اصول پر عمل کرنے والے سپر ایمپلائی کے طور پر دیکھا جائے، جس کا مرکزی نقطہ متعدد طبقاتی دفاع ہے:

ایک محفوظ کردار کی تعمیر ہر ایک افشا اور ہر ایک پیچ کی شفافیت پر ہوتی ہے، برانڈ ناریٹو پر نہیں۔ جب صارفین اعتماد کے باعث اپنے اعتماد پاس کو Agent کے ذریعے پروسیس کرنے کے لیے دیتے ہیں، تو فرما کا فرض ہے کہ وہ دفاع کو مؤثر بنائے رکھے اور اس کے خراب ہونے پر فوری طور پر اطلاع دے۔ اینٹھروپک نے Claude Code سینڈ باکس پر دونوں باتوں کو نہیں کیا۔

"سینڈ باکس کا سب سے بدترین نتیجہ کچھ روکنا نہیں، بلکہ لوگوں کو ایک جھوٹی حفاظت کا احساس دینا ہے۔ ایک خراب سینڈ باکس جاری کرنا، سینڈ باکس جاری نہ کرنے سے زیادہ بدتر ہے۔" — گوان آون نے کہا۔

(یہ مضمون پہلی بار ٹائی میڈیا ایپ پر شائع ہوا، مصنف | سلیکون ویلی ٹیک_نیوز، ایڈیٹر | جیاو یان)

حوالہ جات:

1. oddguan.com — دوسری بار، ایک ہی سینڈ باکس: ایک اور Anthropic Claude Code Network سینڈ باکس بائی پاس ڈیٹا نکالنے کی اجازت دیتا ہے (آنان گوان، 2026.05.20)

2. The Register — حتی کلود بھی سمجھتا ہے کہ اس کے سینڈ باکس میں چھید حقیقی اور خطرناک تھا (2026.05.20)