Даследчыкі LayerX выявілі крытычную ўразлівасць у пашырэннях Claude Desktop Extensions ад Anthropic: адзін шкоднасны запіс у Google Calendar можа запусціць адвольны код на камп’ютары карыстальніка без яго ўдзелу.
Даследчыкі LayerX выявілі крытычную ўразлівасць у пашырэннях Claude Desktop Extensions ад Anthropic: адзін шкоднасны запіс у Google Calendar можа запусціць адвольны код на камп’ютары карыстальніка без яго ўдзелу.
Уразлівасць атрымала максімальную адзнаку — 10 з 10 па шкале CVSS, міжнароднаму стандарту ацэнкі крытычнасці ўразлівасцей у кібербяспецы. Уразлівасць патэнцыйна закранае больш за 10 000 актыўных карыстальнікаў і каля 50 пашырэнняў.
Праблема звязана з архітэктурай DXT: у адрозненне ад браўзерных плагінаў яны працуюць без ізаляванага асяроддзя і валодаюць поўнымі сістэмнымі прывілеямі, гэта значыць могуць чытаць файлы, выконваць каманды, здабываць уліковыя даныя і змяняць налады аперацыйнай сістэмы. Даследчыкі называюць такія пашырэнні «прывілеяваным мастом выканання» паміж моўнай мадэллю і лакальнай сістэмай.
Даследчыкі адзначаюць, што сцэнар атакі не патрабуе складаных тэхнік. Для гэтага дастаткова папрасіць Claude праверыць падзеі ў календары і «разабрацца з гэтым». Мадэль можа інтэрпрэтаваць такую фармулёўку як каманду на выкананне дзеянняў і аўтаматычна звязаць бяспечны сэрвіс кшталту календара з лакальным інструментам, здольным запускаць код. Калі ў падзеі змяшчаецца інструкцыя спампаваць і выканаць файл, сістэма можа зрабіць гэта без дадатковых апавяшчэнняў, што фактычна адкрывае злачынцу поўны доступ да прылады.
LayerX паведаміла Anthropic пра знаходку, аднак кампанія, паводле слоў даследчыкаў, вырашыла не ліквідаваць уразлівасць. У Anthropic лічаць, што такія паводзіны адпавядаюць праектнай логіцы прадукту, які робіць стаўку на максімальную аўтаномнасць ШІ-агента і яго здольнасць свабодна камбінаваць інструменты. Абмежаванні, як мяркуюць у кампаніі, могуць знізіць карыснасць сістэмы.
Эксперты адзначаюць, што сітуацыя адлюстроўвае больш шырокі канфлікт у індустрыі ШІ: бяспека часта ўступае ў прамое супярэчанне з функцыянальнасцю. Моўныя мадэлі не адрозніваюць кантэнт і інструкцыі, для іх усё з’яўляецца тэкстам, а механізмы, якія дазваляюць ім дзейнічаць гнутка і аўтаномна, адначасова павышаюць рызыку злоўжыванняў.
LayerX рэкамендуе не выкарыстоўваць MCP-пашырэнні на сістэмах, дзе крытычна важная абарона даных, да з’яўлення паўнавартасных механізмаў бяспекі.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
это не баг, а ИИ фича