Haberler Security

Claude Code’un Network Sandbox Açığı Kullanıcı Bilgilerini ve Kaynak Kodu Tehlikeye Attı

6 saat Önce
Yorum Ekle
by Kerem Şuğle
Yazan Kerem Şuğle

Anthropic’in Claude Code‘unda altı ay boyunca açık kalan bir güvenlik açığı vardı. Güvenlik araştırmacısı Aonan Guan bunu kamuoyuyla paylaşana kadar fark eden olmadı. Açık, makinedeki AWS credentials‘larından GitHub token‘larına kadar her şeyi saldırganlara sunabiliyordu.

130 sürüm, altı ay, kimse fark etmedi

Sorun v2.0.24‘te başlamış, v2.1.89‘a kadar aktif kalmış. Ekim 2025’ten Nisan 2026’ya kadar yaklaşık 130 release. Bu araçları geliştirme ortamında aktif kullanan herkes için bu süre uzun.

Teknik detay: SOCKS5 null-byte injection

Açığın kökü, JavaScript ile C kütüphanesi arasındaki bir parsing mismatch. Claude Code’un sandbox‘ı, hostname doğrulamasını JavaScript’in endsWith() metoduyla yapıyor. Sorun şu: C kütüphanesi null byte’ta string’i keserken JavaScript kesiyor mu? Kesmez.

Yani attacker-host.com.google.com gibi bir hostname geldiğinde, JavaScript .google.com ile bittiğini görüp geçiyor. C kütüphanesi null byte’ta duruyor ve saldırganın sunucusuna bağlanıyor. Allowlist bypass’ı bu kadar.

Neler risk altındaydı?

Açık dönemde Claude Code kullanan bir sistemde şunlar çalınabilirdi:

  • AWS credentials (~/.aws/)
  • GitHub token’ları (~/.config/gh/)
  • Cloud instance metadata
  • Internal API endpoint‘ler, kurumsal iç sistemler
  • Environment variable‘lar ve API key‘ler

Patch geldi, ama sessizce

v2.1.90 1 Nisan 2026’da yayımlandı. Release notes‘ta güvenlik düzeltmesinden tek kelime yok. Araştırmacının HackerOne raporu “duplicate” gerekçesiyle kapatıldı. 10 Mayıs 2026 itibarıyla resmi bir CVE numarası da yok.

Altı aylık kritik bir açığı changelog’a yazmamak, özellikle kurumsal ortamlarda bu aracı kullanan ekiplere karşı haksızlık. Responsible disclosure açısından Anthropic’in bu tutumu sektörde olumsuz karşılandı.

Ne yapmalısınız?

  1. v2.1.90 veya üzeri sürüme geçin. Hâlâ eski sürümdeyseniz önce bunu yapın.
  2. SOCKS outbound trafiğini inceleyin. Açık dönemde wildcard allowlist kullanan sistemlerde şüpheli çıkış trafiği olup olmadığına bakın.
  3. Credential’larınızı rotate edin. AWS ve GitHub token’larını yenileyin, eskilerini iptal edin.

Son not

AI araçları geliştirme ortamlarına bu kadar yerleşince, bu araçlardaki açıkların etkisi de farklı bir boyut kazanıyor. Sandbox mantıklı bir savunma katmanı; ama farklı çalışma zamanları arasındaki parsing mismatch‘ler bu tür bypass’lara zemin hazırlıyor. Ve şirket şeffaf davranmıyorsa, kullanıcıların ne zaman güncelleme yapmaları gerektiğini bilmesi mümkün olmuyor.

You may also like

Yazar Hakkında

Kerem Şuğle

Solution Architect

Bütün Yazıları Gör

Leave a Comment