先说一则令人关注的消息:Anthropic 旗下的 Windows 版 Claude Desktop 近日被安全研究团队 Armadin 发现了一个“意料之外”的缺陷——其沙箱隔离机制并未如预期般稳固。简单来说,只要攻击者在本地进行一些操作,就能在 Ubuntu 虚拟机中轻松获取 root 权限,同时绕过原有的网络访问限制。这一发现引发了业内对 Claude Desktop 安全性的广泛讨论。

先了解背景:Claude Cowork 是 Anthropic 面向工作者推出的自动化工具,可在隔离环境中运行 Claude Code,协助开发工具、处理数据等任务。在 Windows 版 Claude Desktop 中,Claude Cowork 基于 Hyper-V 隔离的 Ubuntu 虚拟机运行,目的正是将安全风险降至最低。从设计上看,这似乎很稳妥,但问题恰恰出在实现细节上。
Armadin 发现,真正的“隐患”在于 Windows 本地服务 CoworkVMService。该服务负责接收 Claude Desktop 发出的请求,并将指令转发至虚拟机内部执行。研究人员利用 DLL 侧载(DLL Sideloading)技术,让经过 Anthropic 数字签名的 claude.exe 加载了一个恶意 DLL。这样一来,恶意代码便能以合法进程为掩护顺利运行,直接绕过了 CoworkVMService 对调用程序身份的验证。简单来说,就是“穿上合法外衣,无人阻拦”。
接下来的操作更为惊人。研究表明,部分执行参数可直接修改虚拟机内部的安全配置。其中一项参数允许指定命令以 Linux 已有用户的身份执行——研究人员当然直接指定 root 账户,轻松在虚拟机中获取最高权限。另一项参数则更为激进,能够覆盖单次任务允许访问的域名白名单。如此一来,原有的网络访问限制形同虚设。两招结合,攻击者便可在虚拟机中为所欲为:既能抓取同一虚拟机中运行进程和工作会话的数据,又能将信息传输至自己控制的外部服务器。这堪称一锤定音的关键突破。
Anthropic 方面的回应则相对淡定。他们认为,该攻击链的前提是攻击者已具备 Windows 主机的本地代码执行能力,因此这并不构成安全漏洞。但 Armadin 显然持不同观点——他们认为这一功能存在明显设计缺陷,属于 Claude Desktop 自身的问题。因此建议也很实际:如果无需使用 Claude Cowork,最好直接卸载 Claude Desktop;如果必须使用,则需严格控制谁有权限运行 Claude Desktop,同时密切监控 claude.exe 是否从非系统目录加载可疑 DLL。毕竟,网络安全从来不应等到漏洞被通报后才采取行动。
