🛡️ Claude Cowork 曝出提示词注入漏洞可导致文件外泄
安全研究机构 PromptArmor 近期披露了 Anthropic 研究预览工具 Claude Cowork 的安全漏洞。该漏洞利用“提示词注入”(Prompt Injection)技术,通过在 .docx 或 .md 格式的“技能”(Skills)文件中隐藏恶意指令,诱导 Claude 代理将用户敏感文件外泄至攻击者的 Anthropic 账户。
技术分析显示,攻击者可利用不可见字体或伪装成功能性文件的手段植入指令。由于 Claude Cowork 具备自主代理属性并拥有互联网访问权限,一旦用户上传并运行这些恶意技能文件,系统便可能在用户无感知的情况下执行外泄操作。PromptArmor 在 Anthropic 提供的多个示例技能文件中发现了安全隐患,其中 webapp-testing 的命令注入漏洞 CVSS 评分高达 9.8(严重),mcp-builder 的漏洞评分也达到 8.8(高危)。
行业讨论指出,该漏洞反映了大语言模型(LLM)在架构上难以区分“指令”与“数据”的固有缺陷。与 SQL 注入不同,LLM 目前缺乏有效的参数化查询手段来彻底分离控制流与数据流。目前的防御建议包括将代理运行在隔离的沙箱或虚拟机中、实施严格的出站域名白名单限制,以及开发基于加密签署的权限凭证系统以约束工具调用。Anthropic 强调该产品目前仅处于研究预览阶段,并明确警告用户不要授权其访问存有机密数据的目录。
(HackerNews)
via 茶馆 - Telegram Channel
安全研究机构 PromptArmor 近期披露了 Anthropic 研究预览工具 Claude Cowork 的安全漏洞。该漏洞利用“提示词注入”(Prompt Injection)技术,通过在 .docx 或 .md 格式的“技能”(Skills)文件中隐藏恶意指令,诱导 Claude 代理将用户敏感文件外泄至攻击者的 Anthropic 账户。
技术分析显示,攻击者可利用不可见字体或伪装成功能性文件的手段植入指令。由于 Claude Cowork 具备自主代理属性并拥有互联网访问权限,一旦用户上传并运行这些恶意技能文件,系统便可能在用户无感知的情况下执行外泄操作。PromptArmor 在 Anthropic 提供的多个示例技能文件中发现了安全隐患,其中 webapp-testing 的命令注入漏洞 CVSS 评分高达 9.8(严重),mcp-builder 的漏洞评分也达到 8.8(高危)。
行业讨论指出,该漏洞反映了大语言模型(LLM)在架构上难以区分“指令”与“数据”的固有缺陷。与 SQL 注入不同,LLM 目前缺乏有效的参数化查询手段来彻底分离控制流与数据流。目前的防御建议包括将代理运行在隔离的沙箱或虚拟机中、实施严格的出站域名白名单限制,以及开发基于加密签署的权限凭证系统以约束工具调用。Anthropic 强调该产品目前仅处于研究预览阶段,并明确警告用户不要授权其访问存有机密数据的目录。
(HackerNews)
via 茶馆 - Telegram Channel
