El sandbox de Claude Cowork: una fuga a root en disputa y el debate de la ejecución local
Una cadena publicada el 1 de julio de 2026 alcanza root dentro del sandbox Linux de Claude Cowork y elimina sus restricciones de red. Anthropic no la considera vulnerabilidad porque exige acceso local previo.
¿Qué es esto?
El 1 de julio de 2026, la firma de seguridad Armadin publicó una cadena de ataque que obtiene un shell de root dentro del sandbox Linux aislado que Claude Cowork, de Anthropic, utiliza para ejecutar código no confiable, junto con un segundo paso que elimina las restricciones de salida de red pensadas para contener ese sandbox. La publicación fue recogida ese mismo día por SiliconANGLE, SC Media, GBHackers y otros. El matiz esencial está en el encuadre: Armadin informó de la cadena a Anthropic a principios de año, y Anthropic se negó a tratarla como un problema de seguridad porque llevarla a cabo requiere que el atacante ya disponga de ejecución de código local en la máquina anfitriona. No se asignó ningún CVE. Por tanto no es un día cero explotable en remoto, sino una debilidad divulgada en una capa de defensa y un desacuerdo real sobre cuánto se supone que protege un sandbox frente a un atacante que ya está en el equipo.
Cómo funciona
La cadena, tal como se describe públicamente, tiene dos partes conceptuales. La primera es un clásico punto de entrada por DLL sideloading (MITRE ATT&CK T1574.002): el binario de escritorio firmado de Claude resuelve una biblioteca del sistema desde su propio directorio de aplicación antes de recurrir a la copia real del sistema, de modo que un archivo colocado a su lado, con el nombre y la función exportada esperados, se ejecuta dentro de un proceso legítimamente firmado. Ese paso exige que el atacante ya pueda escribir archivos y ejecutar código en el anfitrión: precisamente la condición previa que invoca Anthropic.
La segunda parte es la más instructiva para quienes construyen agentes. El sandbox lo aprovisiona un servicio local privilegiado con el que la aplicación de escritorio se comunica por un canal entre procesos. Uno de los parámetros que controlan cómo se configura una sesión se aceptaba sin validación: un indicador que debía forzar la creación de un usuario nuevo y sin privilegios podía, en cambio, cambiarse para reutilizar una cuenta con nombre arbitrario, y el servicio atendía una petición que designaba al superusuario sin comprobarla. El resultado era un shell de root dentro del contenedor, en lugar del usuario restringido previsto por el diseño. Una carencia relacionada permitía a quien llamaba desactivar el filtrado de salida destinado a impedir que el sandbox contactara con hosts arbitrarios. Describimos deliberadamente la forma del fallo en lugar de reproducir los parámetros, porque la lección útil es arquitectónica, no una receta.
Por qué importa
El desacuerdo es la noticia. La postura de Anthropic —una fuga de sandbox condicionada a una ejecución de código local preexistente no es una vulnerabilidad— es defendible y habitual: si el atacante ya ejecuta código con su identidad, ya puede leer sus archivos y sus claves, así que el sandbox nunca fue su última línea de defensa. El contraargumento implícito de Armadin es el de la defensa en profundidad: la propuesta de valor misma de Cowork es ejecutar contenido no confiable, y una capa de contención que pasa de sin privilegios a root y de red restringida a sin restricciones mediante un único indicador no validado es una frontera más débil de lo que sugiere el diseño. Ambas cosas pueden ser ciertas a la vez. Lo que importa para cualquiera que despliegue un agente capaz de ejecutar código es que el servicio auxiliar privilegiado que aprovisiona su sandbox forma parte, él mismo, de la superficie de ataque, y que confiar en parámetros procedentes de un llamador con menos privilegios recrea un patrón de «diputado confuso» de hace décadas en el corazón de un runtime de IA flamante. El ángulo del binario firmado también cuenta: los atacantes valoran la ejecución dentro de un proceso de confianza firmado para evadir defensas, y las aplicaciones de IA de escritorio son hoy anfitriones de gran valor, pues guardan claves de API, credenciales de nube y acceso a todo aquello con lo que el agente esté conectado.
Defensas
Para los equipos que construyen u operan sandboxes de agentes, traten el servicio local de aprovisionamiento como una frontera de seguridad y validen cada parámetro que reciba de la aplicación, en especial todo lo que seleccione un usuario, un nivel de privilegio o una política de red; una solicitud que pida root debe rechazarse de plano, no atenderse. Asuman que el sandbox se escapará en ocasiones y añadan capas que sobrevivan a ello: cuentas de anfitrión con privilegios mínimos, filtrado de salida aplicado fuera del contenedor y fuera del alcance del llamador, y vigilancia de un proceso de sandbox que de pronto se ejecute como root o alcance un host inesperado. Endurezcan frente al DLL sideloading resolviendo las bibliotecas del sistema desde rutas fijas del sistema, activando un orden de búsqueda seguro y firmando y verificando la integridad del directorio de aplicación, para que un archivo colocado junto a un binario firmado sea detectado. Para los usuarios finales, la enseñanza no cambia: mantengan actualizados y libres de código no confiable los equipos que ejecutan aplicaciones de agentes, porque en esta clase de problema el anfitrión es el ancla de confianza. Si operan Claude Cowork en la empresa, apliquen controles de endpoint que detecten la ejecución de código local y las escrituras no autorizadas en directorios de aplicación, ya que esa es la condición previa de la que depende toda la cadena.
Estado
Divulgada por Armadin el 1 de julio de 2026 tras un informe privado a Anthropic a principios de año. Anthropic respondió que no considera la cadena un problema de seguridad, dado que la explotación requiere una ejecución de código local preexistente en el anfitrión; no se asignó ningún CVE ni se anunció parche alguno.
| Elemento | Detalle |
|---|---|
| Divulgación | Publicación de Armadin, 1 de julio de 2026 |
| Producto | Sandbox de Claude Cowork (VM Linux sobre anfitrión Windows) |
| Punto de entrada | DLL sideloading en un binario de escritorio firmado (T1574.002) |
| Elevación | Parámetro de aprovisionamiento sin validar → root en el sandbox; elusión del filtrado de salida |
| Condición previa | El atacante ya dispone de ejecución de código local en el anfitrión |
| Postura del proveedor | No tratado como problema de seguridad; sin CVE, sin parche anunciado |
Sources
- → https://www.armadin.com/blog-posts/exploiting-root-execution-in-claude-coworks-sandbox
- → https://siliconangle.com/2026/07/01/armadin-details-full-sandbox-escape-claude-cowork-anthropic-disputes-risk/
- → https://www.scworld.com/brief/researchers-detail-attack-chain-escaping-anthropics-claude-cowork-sandbox
- → https://gbhackers.com/claude-cowork-sandbox-flaw/
- → https://thehackernews.com/2026/07/threatsday-ai-compute-hijacking-apple.html