Τα τρωτά σημεία Claude επιτρέπουν στους εισβολείς να εκμεταλλεύονται ευαίσθητα δεδομένα και να ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους

Τρεις αλυσιδωτές ευπάθειες στο Claude.ai, τον ευρέως χρησιμοποιούμενο βοηθό τεχνητής νοημοσύνης της Anthropic, που μαζί επιτρέπουν στους εισβολείς να εκμεταλλεύονται σιωπηλά ευαίσθητα δεδομένα συνομιλιών και να ανακατευθύνουν ανυποψίαστους χρήστες σε κακόβουλους ιστότοπους, όλα χωρίς να απαιτούν ενσωματώσεις, εργαλεία ή διαμορφώσεις διακομιστή MCP.

Η αλυσίδα ευπάθειας, που ονομάστηκε συλλογικά Claudy Day, αναφέρθηκε υπεύθυνα στο Anthropic μέσω του Προγράμματος Υπεύθυνης Αποκάλυψης και το κύριο ελάττωμα έγχυσης έγχυσης έκτοτε επιδιορθώθηκε.

Η επίθεση εκμεταλλεύεται τρεις ανεξάρτητες αδυναμίες σε όλη την πλατφόρμα claude.com, αλυσοδώντας τις σε έναν πλήρη συμβιβασμό από άκρο σε άκρο.

Τρία αλυσιδωτά τρωτά σημεία

Invisible Prompt Injection μέσω παραμέτρων URL: Το Claude.ai υποστηρίζει προσυμπληρωμένα μηνύματα μέσω παραμέτρων URL (claude.ai/new?q=...), μια δυνατότητα που επιτρέπει σε χρήστες ή τρίτα μέρη να ανοίξουν μια περίοδο λειτουργίας συνομιλίας με προφορτωμένο κείμενο.

Οι ερευνητές διαπίστωσαν ότι ορισμένες ετικέτες HTML θα μπορούσαν να ενσωματωθούν σε αυτήν την παράμετρο και να καταστούν αόρατες στο πεδίο εισαγωγής συνομιλίας — αλλά να υποβληθούν σε πλήρη επεξεργασία από τον Claude κατά την υποβολή.

Αυτό επέτρεψε στους επιτιθέμενους να αποκρύψουν αυθαίρετες οδηγίες, συμπεριλαμβανομένων εντολών εξαγωγής δεδομένων, μέσα σε αυτό που φαινόταν να είναι μια απολύτως φυσιολογική προτροπή, αόρατη στο θύμα.

Εξαγωγή δεδομένων μέσω του API Anthropic Files: Το sandbox εκτέλεσης κώδικα του Claude περιορίζει τις περισσότερες εξερχόμενες συνδέσεις δικτύου, αλλά επιτρέπει την κυκλοφορία api.anthropic.com.

Με την ενσωμάτωση ενός κλειδιού API που ελέγχεται από τον εισβολέα στο κρυφό ωφέλιμο φορτίο έγχυσης προτροπής, οι ερευνητές απέδειξαν ότι ο Claude μπορούσε να λάβει οδηγίες να αναζητήσει ευαίσθητα δεδομένα στο ιστορικό συνομιλιών του χρήστη, να το μεταγλωττίσει σε ένα αρχείο και να το ανεβάσει σιωπηλά στον λογαριασμό Anthropic του ίδιου του εισβολέα μέσω του Files API. Ο εισβολέας ανακτά τα δεδομένα που έχουν διεισδύσει κατά βούληση. δεν απαιτούνται εξωτερικά εργαλεία ή ενσωματώσεις τρίτων.

Ανοίξτε την Ανακατεύθυνση στο claude.com: Οποιαδήποτε διεύθυνση URL ακολουθεί τη δομή claude.com/redirect/ θα ανακατευθύνει τους επισκέπτες σε αυθαίρετους τομείς τρίτων χωρίς επικύρωση.

Οι ερευνητές απέδειξαν ότι αυτό θα μπορούσε να οπλιστεί με το Google Ads, το οποίο επικυρώνει τις διαφημίσεις κατά όνομα κεντρικού υπολογιστή. Ένας εισβολέας θα μπορούσε να τοποθετήσει μια διαφήμιση πληρωμένης αναζήτησης που εμφανίζει μια αξιόπιστη διεύθυνση URL του claude.com που, κάνοντας κλικ, προωθούσε σιωπηλά το θύμα στη διεύθυνση URL κακόβουλης ένεσης του εισβολέα, που δεν διακρίνεται από ένα νόμιμο αποτέλεσμα αναζήτησης Claude.

Ακόμη και σε μια προεπιλεγμένη, εκτός λειτουργίας συνεδρία Claude.ai, το ιστορικό συνομιλιών μπορεί να περιέχει εξαιρετικά ευαίσθητο υλικό: συζητήσεις επιχειρηματικής στρατηγικής, οικονομικός σχεδιασμός, ιατρικές ανησυχίες, προσωπικές σχέσεις και πληροφορίες σχετικά με τη σύνδεση.

Μέσω του ωφέλιμου φορτίου έγχυσης, ένας εισβολέας θα μπορούσε να δώσει εντολή στον Claude να δημιουργήσει το προφίλ του χρήστη συνοψίζοντας προηγούμενες συνομιλίες, να εξαγάγει συνομιλίες για συγκεκριμένα ευαίσθητα θέματα, όπως μια εκκρεμή απόκτηση ή μια διάγνωση υγείας ή να επιτρέψει στο μοντέλο να προσδιορίσει αυτόνομα και να εκμεταλλευτεί αυτό που θεωρεί ότι είναι το πιο ευαίσθητο περιεχόμενο.

Σε εταιρικά περιβάλλοντα με ενεργοποιημένους διακομιστές MCP, ενσωματώσεις αρχείων ή συνδέσεις API, η ακτίνα έκρηξης επεκτείνεται σημαντικά. Οι εγχυόμενες οδηγίες θα μπορούσαν να διαβάζουν έγγραφα, να στέλνουν μηνύματα εκ μέρους του χρήστη και να αλληλεπιδρούν με οποιαδήποτε συνδεδεμένη επιχειρηματική υπηρεσία, όλα εκτελούνται σιωπηλά προτού ο χρήστης μπορέσει να παρέμβει.

Οι δυνατότητες στόχευσης του Google Ads, συμπεριλαμβανομένης της Αντιστοιχίας πελατών για συγκεκριμένες διευθύνσεις ηλεκτρονικού ταχυδρομείου, επιτρέπουν περαιτέρω στους εισβολείς να κατευθύνουν χειρουργικά αυτήν την επίθεση σε γνωστά άτομα υψηλής αξίας.

Η Anthropic επιβεβαίωσε ότι η ευπάθεια έγκαιρης έγχυσης έχει αποκατασταθεί, με τα υπόλοιπα ζητήματα να αντιμετωπίζονται ενεργά. Οι οργανισμοί που βασίζονται στο Claude.ai ή παρόμοιες πλατφόρμες τεχνητής νοημοσύνης θα πρέπει να ελέγχουν όλες τις ενσωματώσεις πρακτόρων και να απενεργοποιούν τα δικαιώματα που δεν χρειάζονται ενεργά, μειώνοντας τη διαθέσιμη επιφάνεια επίθεσης.

Οι χρήστες θα πρέπει να εκπαιδεύονται ότι τα προσυμπληρωμένα μηνύματα και οι κοινόχρηστοι σύνδεσμοι Claude μπορούν να φέρουν κρυφές οδηγίες, ένα μοντέλο απειλής που οι περισσότεροι χρήστες δεν εξετάζουν επί του παρόντος.

Από τη σκοπιά της εταιρικής διακυβέρνησης, οι πράκτορες τεχνητής νοημοσύνης που διαθέτουν διαπιστευτήρια και αναλαμβάνουν αυτόνομες ενέργειες πρέπει να αντιμετωπίζονται με τους ίδιους ελέγχους πρόσβασης που εφαρμόζονται σε ανθρώπινους χρήστες και λογαριασμούς υπηρεσιών, συμπεριλαμβανομένης της ανάλυσης προθέσεων, της έγκαιρης πρόσβασης εύρους και των πλήρους διαδρομής ελέγχου.

Αυτή η αποκάλυψη ακολουθεί την προηγούμενη έρευνα της Oasis Security για το OpenClaw, ενισχύοντας ένα συνεπές και αναπτυσσόμενο μοτίβο: οι πράκτορες AI με ευρεία πρόσβαση μπορούν να παραβιαστούν μέσω μιας μόνο χειραγώγησης εισόδου και τα πλαίσια διαχείρισης ταυτότητας και πρόσβασης παλαιού τύπου δεν σχεδιάστηκαν για να λάβουν υπόψη τη συμπεριφορά πρακτόρων σε κλίμακα.