Anthropicが発表した日常業務を支援するAIエージェント「Cowork」に、ユーザーがアップロードしたファイルから不正なプロンプトを読み取って実行してしまう脆弱性があることが分かりました。
Claude Cowork Exfiltrates Files
https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files
セキュリティ企業のPromptArmorが報告したところによると、今回発見された脆弱性はAnthropic APIを利用して攻撃者にデータを送信する仕組みになっているとのこと。Coworkが実行するコードはすべて仮想環境内で動作し、ほぼ全てのドメインへのアクセスが制限されていますが、Anthropic APIだけは「信頼済み」として検知を逃れているため、本攻撃が成功してしまうそうです。
PromptArmorは、ユーザーが機密ファイルを含むローカルフォルダにCoworkを接続するシチュエーションを想定して攻撃の流れを説明しました。
Coworkだけでなく、AnthropicのClaudeモデルは「スキル」と呼ばれるAIへの指示書のようなものを処理して実行できます。このスキルは基本的にマークダウン形式で書かれており、インターネット上でさまざまなスキルを見つけることができます。ところが、マークダウン形式で書かれたmdファイルのように見えるdocxファイルがスキルとして公開される可能性があり、ユーザーが誤認してしまう場合があるとのこと。
PromptArmorは、こうしたスキルにフォントサイズ1ポイント・白地に白文字・行間0.1の設定で注入された「人間の目には見えないプロンプト」が含まれている場合を想定。一般的なユーザーは入手したスキルの内容を精査せずそのままCoworkに渡してしまうため、悪意のあるプロンプトが実行されてしまう可能性があるとしています。
悪意のあるプロンプトは、Coworkに「curl」コマンドを使用させ、利用可能な最大サイズのファイルでAnthropicのファイルアップロード用APIへリクエストを送信するよう指示。その後、攻撃者のAPIキーを使ってファイルは攻撃者のアカウントへアップロードされます。PromptArmorはこのエクスプロイトをClaude Haikuで実証しました。
PromptArmorはまた、誤った拡張子を持つファイルの処理にClaudeが苦労し、繰り返しAPIエラーを発生させるという現象を観測したと報告しています。これにより、限定的なDoS攻撃が可能だと指摘しました。
PromptArmorがこうした脆弱性をAnthropicに報告したところ、脆弱性は認めたものの修正は行わなかったとのことです。Coworkはリリースから間もない上、あくまで研究プレビューの段階であり、Anthropicもリリース当初から「プロンプトインジェクション攻撃のリスクがあるため、機密情報などへのアクセスは許可しないように」と呼びかけています。
PromptArmorは「接続設定時には細心の注意を払うよう強く推奨します」と伝えました。
この記事のタイトルとURLをコピーする
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。