Новый ИИ-агент для работы Anthropic содержит уязвимость, позволяющую выводить конфиденциальные файлы из системы. Несмотря на предупреждения компании, проблема не устранена, что ставит под угрозу пользователей, особенно не разбирающихся в технологиях.
Компания Anthropic выпустила предварительную исследовательскую версию универсального ИИ-агента Claude Cowork, предназначенного для помощи в повседневной работе. Вскоре после этого было продемонстрировано, как злоумышленники могут использовать ранее известную, но не устраненную уязвимость для похищения пользовательских файлов через эту систему.
Эта уязвимость изначально была обнаружена Йоханном Ребергером еще в базовом чате Claude.ai. Несмотря на то, что Anthropic признала ее, проблема не была исправлена и теперь распространяется на Cowork. Компания предупреждает, что Cowork — это экспериментальная версия, связанная с уникальными рисками из-за агентской природы и доступа в интернет, и рекомендует пользователям следить за подозрительными действиями, которые могут указывать на внедрение вредоносных команд.
Однако ожидать от обычных пользователей, не являющихся программистами, умения распознавать такие технические угрозы, несправедливо. При этом Anthropic, с одной стороны, советует не предоставлять доступ к файлам с конфиденциальной информацией, а с другой — поощряет использование Cowork для организации рабочего стола, что создает противоречивую ситуацию.
Атака реализуется через цепочку действий. Сначала жертва подключает Cowork к локальной папке, содержащей конфиденциальные данные, например, документы по недвижимости с оценками и кредитными расчетами. Затем, часто непреднамеренно, в систему загружается файл со скрытой вредоносной инъекцией. Это может быть файл, найденный в интернете, документ, обработанный через расширение для браузера, или даже специально созданный «навык» для Claude. Используя разрешенные API Anthropic, злоумышленник может обойти ограничения виртуальной среды и извлечь данные.