波蘭安全咨詢與研究機構Security Explorations公司研究人員Adam Gowdiak宣稱，其在Google App Engine當中發現大量安全漏洞。

Gowdiak指出，他和他的同事“在Google App Engine當中發現一系列安全問題，并可能導致Java VM安全沙箱環境變得形同虛設。”

下面一起來看Gowdiak就這一問題作出的具體闡述：

我們繞過了JRE類的GAE白名單/徹底避開了JavaVM安全沙箱機制(全部17種沙箱機制全部淪陷，PoC代碼總計利用22種安全漏洞)。

我們實現了本地代碼執行(即實現對任意庫/系統之調用)。

我們獲得了對構成JRE沙箱之文件(二進制/類)的訪問權，其中包括最大的libjavaruntime.so二進制文件(總計468416808字節)。

我們從二進制文件中提取到了DWAR信息(即類型信息等)。

我們從Java類中提取到PROTOBUF定義(來自542個.proto文件，共涉及57項服務)。

我們從二進制文件中提取到PROTOBUF定義(來自68個.proto文件，共涉及8項服務)。

我們對以上內容進行了分析，并掌握了大量與Java沙箱(及其它)相關的GAE環境信息。

Gowdiak表示“仍有很多問題需要進一步驗證——我們估計安全漏洞總數將達到30個以上。”

Gowdiak目前的探索道路已經陷入停滯，因為谷歌方面關閉了他的賬戶。沒有任何跡象表明谷歌是出于惡意或者刻意阻撓該公司的努力：Gowdiak表示他的研究可能看起來像是對谷歌的一種攻擊行為。

“考慮到我們對于Google Apps Engine Java安全沙箱問題的探索屬于學習性質，而且看起來谷歌方面應該是對各類圍繞沙箱展開的規避性探索與安全研究嘗試持鼓勵態度，因此我們希望該公司能夠允許我們繼續完成自己的工作，”他總結道。