Исследователи обнаружили критическую уязвимость в среде исполнения Claude Cowork, которая позволяла злоумышленникам выйти за пределы изолированной песочницы и получить root-права на хостовой системе. Проблема заключалась в некорректной конфигурации изоляции контейнеров, что открывало путь к выполнению произвольного кода с максимальными привилегиями, ставя под угрозу безопасность инфраструктуры, используемой для работы ИИ-агентов.
Анализ показал, что механизм, предназначенный для безопасного запуска кода, генерируемого моделью, не обеспечивал должного разделения прав между средой выполнения и основной операционной системой. Эксплуатация уязвимости давала возможность манипулировать файловой системой и сетевыми настройками хоста, что является серьезным риском для систем, где агенты имеют доступ к конфиденциальным данным или API-ключам.
Данный инцидент подчеркивает сложность обеспечения безопасности в агентных системах, где модель активно взаимодействует с внешним окружением. Разработчики подобных решений сталкиваются с необходимостью внедрения многоуровневой защиты, выходящей за рамки стандартных контейнеров, чтобы предотвратить эскалацию привилегий в случае компрометации кода, созданного ИИ.
Ключевые факты
- Уязвимость позволяла выйти из изолированной среды исполнения Claude Cowork.
- Атака приводила к получению root-доступа на уровне хостовой системы.
- Проблема была связана с недостаточной изоляцией контейнеров при выполнении агентских задач.
- Эксплуатация открывала доступ к файловой системе и сетевым ресурсам хоста.
- Исследование демонстрирует риски безопасности при интеграции автономных агентов в рабочие среды.