Компания Anthropic только успела представить своего нового ИИ-помощника Claude Cowork, как исследователи безопасности обнаружили в нем серьезную уязвимость. Проблема позволяет злоумышленникам похищать конфиденциальные файлы пользователей через скрытые вредоносные команды.
По данным компании PromptArmor, уязвимость связана с недостатками изоляции в среде выполнения кода Claude. Примечательно, что эта проблема была известна еще до появления Cowork — исследователь Иоганн Ребергер ранее сообщал о ней в Claude.ai, но Anthropic так и не устранила недостаток.
Механизм атаки довольно коварен. Когда пользователь подключает Cowork к локальной папке с данными, злоумышленник может поместить туда файл со скрытыми вредоносными командами. Обычно это делается через документ формата .docx, замаскированный под безобидный файл навыков — новый тип промптов, который Anthropic недавно представила для своих ИИ-систем.
Вредоносный текст прячется с помощью белого шрифта на белом фоне, минимального размера букв и сверхмалого межстрочного интервала. Когда пользователь просит Cowork проанализировать файлы с помощью загруженного "навыка", активируется вредоносный код. Он заставляет Claude отправить самый большой доступный файл через API Anthropic, используя ключ злоумышленника.
Исследователи проверили уязвимость на разных моделях Claude, включая самую продвинутую версию Opus 4.5 — все они оказались подвержены атаке. В одном из тестов удалось похитить клиентские данные через официальный API Anthropic, обойдя все ограничения виртуальной машины.
Примечательно, что Cowork был создан всего за полторы недели с помощью инструмента Claude Code. Такая спешка в разработке, похоже, привела к недостаточному вниманию к безопасности.
Проблема внедрения вредоносных команд остается нерешенной в индустрии ИИ уже много лет. Особенно опасна она для таких инструментов как Cowork, имеющих доступ к компьютеру пользователя и различным источникам данных. В отличие от фишинговых атак, от которых можно научиться защищаться, против этих эксплойтов обычные пользователи бессильны.
Смотрите также
-
YouTube тестирует AI-помощника для просмотра видео на телевизоре
-
Meta купила соцсеть, где постят только ИИ-агенты. Зачем?
-
ИИ-фото на резюме: в Южной Корее начался хаос на рынке труда
-
Roblox заменил решётки на AI-перефразировщик: теперь мат исправляют на лету
-
OpenAI отложила запуск «режима для взрослых» в ChatGPT
-
OpenAI выпустила GPT-5.4 через день после предыдущей версии
-
OpenAI выкатила GPT-5.3 Instant - модель стала меньше отказывать и морализировать
-
Google выпустил Gemini 3.1 Flash-Lite - быстрый и дешёвый ИИ для массовых задач
-
Meta тестирует AI-шопинг в своем чатботе - конкурент ChatGPT и Gemini
Блог