AI 安全研究團隊近日發現 Anthropic 推出的 AI 協作新功能——Claude Cowork 存在嚴重安全風險,可能導致用户文件被攻擊者遠程提取。
Claude Cowork 是 Anthropic 針對非技術用户推出的智能辦公代理工具,可通過自然語言指令對本地文件夾進行讀寫、整理、分析等操作。這讓 AI 不再是簡單的聊天機器人,而是可執行任務的數字助手。
安全分析顯示,在某些條件下,攻擊者能借助 “間接提示注入”(Indirect Prompt Injection) 漏洞操控 Claude Cowork 將用户本地文件上傳至攻擊者控制的後台賬户。
攻擊流程大致如下:
-
用户授權 Cowork 訪問本地文件夾(如包含敏感文件的文件夾)。
-
攻擊者構造含有隱藏指令的惡意文件並誘導用户上傳。
-
當 Cowork 處理這些文件時,嵌入的惡意指令會被觸發,指示 Claude 向外發送文件數據。
-
利用一個攻擊者自帶的 API 密鑰,Claude 會藉助允許的 Anthropic API 上傳這些文件,不需要用户額外確認。
-
攻擊者隨後可以通過自己的 Anthropic 賬號訪問或分析這些文件數據。
這類攻擊不需要用户直接執行代碼,僅憑上傳文件就能完成整個數據外泄過程。安全分析指出,這種風險源於以下技術原因:
-
Claude Cowork 的運行環境允許訪問指定本地文件夾並解析用户提供的文件。
-
Claude 所在的虛擬機為 API 訪問設置了“白名單”,其中包含 Anthropic 官方的文件 API。這意味着,通過這個 API 向 Anthropic 上傳文件不會被阻止。
-
惡意提示可以讓 Claude 運行嵌入在文件中的請求,從而繞過常規安全防護。
Anthropic 在發佈 Cowork 時提醒用户,這項功能仍處於“研究預覽”階段,並存在未知風險,需要謹慎使用。尤其建議不要授權訪問包含敏感信息的文件。不過安全研究者指出,將防護責任完全交給用户並不現實,特別是面對隱藏得很深的提示注入攻擊。
