吳明宜資安研究人員最近在 Anthropic 的 Claude.ai 平台中發現了一個重大的攻擊鏈。這個被稱為「Claudy Day」的漏洞序列,能讓攻擊者透過提示操控 (prompt manipulation) 與惡意重新導向,暗中擷取使用者的敏感資料。此漏洞利用不需外部整合或特定工具,完全在預設的 Claude 對話中運作。
Anthropic 在接獲漏洞揭露資訊後,已修補該提示注入 (prompt injection) 漏洞,其餘問題的修補程式目前也正在製作中。為了讓外界了解此威脅的運作機制,研究人員描繪了構成完整攻擊管道的三個不同漏洞:
- 隱形提示注入 (Invisible Prompt Injection): 嵌入在預填 Claude.ai 網址參數內的惡意 HTML 標籤會對受害者隱藏指令,讓攻擊者在使用者與提示互動時執行看不見的指令。
- 資料外洩 (Data Exfiltration): 藉由將攻擊者控制的 API 金鑰嵌入隱藏提示中,此漏洞利用會迫使 Claude 搜尋使用者的對話紀錄,並將敏感資料直接上傳至攻擊者的 Anthropic Files API 帳號。
- 開放式重新導向 (Open Redirect): claude.com 主網域上未經驗證的重新導向,可透過 Google Ads 遭到濫用,誘騙使用者點擊看似受信任、合法的搜尋結果的惡意連結。
此漏洞利用仰賴串聯這三個獨立問題,以繞過使用者信任與安全控制。
攻擊者首先利用 Anthropic 主網域上的開放式重新導向漏洞。藉由利用會根據受信任主機名稱來驗證網址的 Google Ads,威脅行為者可顯示看似合法的搜尋結果。當受害者點擊連結時,就會在沒有任何警告的情況下,被暗中重新導向至特製的注入網址。
這個惡意網址利用了 Claude 預填對話提示的功能。隱藏的 HTML 指示會迫使 AI 掃描先前的對話紀錄,將財務計畫、醫療問題或企業機密等敏感資訊進行摘要。接著 AI 會將這些資料寫入檔案並上傳至攻擊者控制的帳號,藉此繞過標準的外對外網路限制。
雖然開箱即用 (out-of-the-box) 的攻擊是擷取歷史對話資料,但當使用者將 Claude 連接到外部企業應用程式時,潛在的損害就會倍增。如果 MCP 伺服器、第三方 API 或企業檔案與 AI 代理人連結,隱藏提示就能立即存取這些資源。 AI 可以在受害者意識到攻擊正在進行之前,暗中讀取安全檔案或與內部服務互動。威脅行為者可進一步利用精準廣告投放功能,針對特定產業或客群部署此漏洞,將一般的漏洞轉變為精確的武器。
防禦代理人漏洞利用
要確保 AI 環境的安全,必須嚴格監督代理人與企業資料及外部服務互動的方式。企業必須主動稽核其 AI 整合,停用不必要的 MCP 伺服器並限制 API 存取,以限縮受損提示潛在的影響範圍 (blast radius) 。
Oasis Security 的研究團隊指出,資安團隊應將 AI 代理人視同人類使用者或服務帳號般嚴格審查,實施嚴格的存取控制、意圖分析與持續監控。教育員工了解分享連結和預填 AI 提示的危險,也是一道關鍵的防線。
來源:GBhackers