Claude Cowork 遭指沙箱隔離機制可被濫用取得 VM root 權限

Claude Cowork 遭指沙箱隔離機制可被濫用取得 VM root 權限

2026/07/07

資安研究團隊 Armadin 揭露,Anthropic 的 Claude Desktop for Windows 中,Claude Cowork 使用的沙箱隔離機制,在攻擊者已能於 Windows 主機執行程式的情況下可能遭濫用,進而在虛擬機器內取得 root 權限並放寬對外連線管制。

AI 桌面應用的安全隔離機制受到檢視。資安研究團隊 Armadin 揭露,Anthropic 的 Claude Desktop for Windows 中,Claude Cowork 所使用的沙箱隔離機制,可能在攻擊者已能於 Windows 主機執行程式的情況下遭到濫用。研究人員指出,攻擊者可藉此在 Claude Cowork 使用的 Ubuntu 虛擬機器內取得 root 權限,並放寬原本限制對外連線的管制。

沙箱隔離是現代軟體安全的重要防線,其設計目的在於將程式的執行限制在一個受控的環境中,避免其影響到主系統或存取不該存取的資源。對於 AI 桌面應用而言,沙箱隔離尤為重要——當 AI 能夠執行程式碼、操作檔案時,若缺乏有效的隔離,潛在的安全風險將大幅提升。Claude Cowork 採用 Ubuntu 虛擬機器作為執行環境,正是出於這種隔離考量。

此次揭露的問題核心,在於這套隔離機制在特定前提下可能被繞過或濫用。研究人員的分析指出,前提是攻擊者「已能於 Windows 主機執行程式」,在此情況下,攻擊者可借用 Claude Desktop 元件與本機服務溝通的機制,進一步在 Claude Cowork 的虛擬機器內取得 root 權限。取得 root 權限意味著攻擊者能完全掌控該虛擬環境,而放寬對外連線管制,則可能讓原本受限的網路行為得以進行。

需要釐清的是,此攻擊情境有其前提條件——攻擊者需已具備在 Windows 主機上執行程式的能力。這意味著這並非可讓攻擊者「從零入侵」的漏洞,而是在攻擊者已取得一定立足點後,可用於提升權限、擴大控制範圍的手法。儘管如此,這仍凸顯了 AI 桌面應用在安全隔離設計上需審慎面對的挑戰。

從產業角度看,隨著 AI 應用日益深入使用者的桌面環境,並被賦予執行程式、操作系統的能力,其安全性也面臨更嚴格的檢驗。AI 工具在提供強大功能的同時,如何確保其執行環境的隔離不被濫用、不成為攻擊者提權或橫向移動的跳板,成為業者必須重視的課題。此類研究揭露,正有助於推動 AI 應用安全機制的持續強化。

整體而言,Armadin 揭露的 Claude Cowork 隔離機制濫用問題,為 AI 桌面應用的安全性敲響提醒。對使用者而言,維持主機環境的整體安全、避免攻擊者取得初始立足點,仍是防範此類風險的重要基礎。後續 Anthropic 對此問題的回應與修補措施,值得持續關注。