CVE-2026-34450 CVSS 4.4 中危

CVE-2026-34450 Anthropic Python SDK 文件权限不当漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34450

漏洞类型

权限不当

CVSS评分

4.4 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Anthropic Python SDK

漏洞概述

Anthropic Python SDK在0.86.0至0.87.0之前的版本中存在本地文件权限不当漏洞。该SDK的本地文件系统内存工具在创建内存文件时使用了0o666权限。这意味着在标准umask配置的系统上，这些文件是全局可读的；而在使用宽松umask（如常见Docker镜像）的环境中，文件甚至是全局可写的。本地攻击者可利用此漏洞读取敏感的持久化代理状态，或在容器化场景下篡改内存文件，进而干扰后续的模型运行行为。

技术细节

该漏洞源于Anthropic Python SDK中本地文件系统内存工具的实现缺陷。在受影响版本中，当工具创建用于持久化代理状态的内存文件时，未遵循最小权限原则，错误地使用了0o666模式。在Unix/Linux系统中，文件的实际权限取决于创建模式与系统umask的运算结果。0o666配合常见的umask 022会导致文件变为644，即对所有用户可读。而在Docker等容器化部署环境中，基础镜像常采用宽松的0 umask，导致文件保持666权限，即对所有用户可读写。由于SDK的同步和异步内存工具实现均受影响，同一宿主机上的非授权本地用户可直接读取这些持久化文件，获取敏感的代理交互状态；在容器场景下，攻击者甚至可篡改文件内容，向模型注入虚假记忆或指令，从而操纵后续的模型响应。

攻击链分析

STEP 1

1. 环境探测

攻击者确认目标系统运行了受影响的Anthropic Python SDK版本（0.86.0至0.87.0），并能够访问同一宿主机或容器环境。

STEP 2

2. 文件生成

目标应用程序调用SDK的本地文件系统内存工具，生成用于存储代理状态的文件。由于漏洞存在，该文件以0o666权限创建。

STEP 3

3. 信息窃取

攻击者利用全局可读权限，读取内存文件内容，获取敏感的持久化代理上下文或状态信息。

STEP 4

4. 数据篡改

在umask宽松的环境（如Docker）中，攻击者利用全局可写权限，修改内存文件内容，注入恶意数据以影响模型后续的决策和输出。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os
import tempfile

# Simulating the vulnerable file creation logic in the SDK
# The SDK creates memory files with mode 0o666

def create_vulnerable_memory_file(filename):
    # Create a file with mode 0o666 (rw-rw-rw-)
    fd = os.open(filename, os.O_RDWR | os.O_CREAT, 0o666)
    with os.fdopen(fd, 'w') as f:
        f.write('{"memory": "sensitive_agent_state"}')
    return filename

# Setup a temporary directory for testing
temp_dir = tempfile.mkdtemp()
memory_file = os.path.join(temp_dir, "agent_memory.json")

print(f"Creating file: {memory_file}")
create_vulnerable_memory_file(memory_file)

# Check the file permissions
file_stat = os.stat(memory_file)
octal_permissions = oct(file_stat.st_mode & 0o777)

print(f"File permissions: {octal_permissions}")

if octal_permissions == '0o666':
    print("[!] VULNERABLE: File is world-readable and world-writable.")
    print("    An attacker could read sensitive data or modify the agent's memory.")
else:
    print("[+] SAFE: File permissions are restricted.")

# Cleanup
os.remove(memory_file)
os.rmdir(temp_dir)

影响范围

Anthropic Python SDK >= 0.86.0, < 0.87.0

防御指南

临时缓解措施

如果无法立即升级，建议将系统或容器的umask设置为更严格的值（如022或077），以限制新创建文件的默认权限。此外，应严格限制对SDK工作目录的非授权访问，确保只有运行应用程序的特定用户才能访问相关文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表