Anthropic сутыкнулася з уцечкай даных у новым ШІ-асістэнце Cowork: уразлівасць, раней выяўленая ў Claude Code, перакачавала ў новы прадукт і дазваляе зламыснікам выкрадаць файлы праз промпт-ін’екцыі.
Anthropic сутыкнулася з уцечкай даных у новым ШІ-асістэнце Cowork: уразлівасць, раней выяўленая ў Claude Code, перакачавала ў новы прадукт і дазваляе зламыснікам выкрадаць файлы праз промпт-ін’екцыі.
Аб праблеме паведаміла кампанія PromptArmor, якая спецыялізуецца на пошуку ўразлівасцяў у ШІ-сістэмах. Па яе дадзеных, Cowork можна падманам прымусіць адпраўляць файлы карыстальніка на старонні акаўнт Anthropic — без дадатковага пацвярджэння з боку ўладальніка даных, калі доступ да папкі ўжо быў прадастаўлены.
Cowork, запушчаны на гэтым тыдні ў фармаце research preview, прызначаны для аўтаматызацыі офіснай працы: ён аналізуе дакументы, табліцы і іншыя працоўныя файлы. Аднак менавіта гэта робіць яго асабліва ўразлівым. Дастаткова падключыць Cowork да тэчкі з адчувальнымі данымі і загрузіць дакумент са схаванай промпт-ін’екцыяй. Пры аналізе файлаў убудаваная каманда актывуецца і запускае перадачу даных атакуючаму.
У дэманстрацыі PromptArmor выкарыстоўвалася каманда да Files API Anthropic, якая загружала самы буйны файл у сістэму зламысніка. У выніку атакуючы змог атрымаць доступ да фінансавай інфармацыі і персанальных даных з дакумента праз уласны акаўнт Claude.
Сцэнар атакі паўтарае ўразлівасць Files API, аб якой яшчэ ў кастрычніку 2025 года паведамляў даследчык бяспекі Ёхан Ребергер у кантэксце Claude Code. Тады Anthropic спачатку закрыла справаздачу пра памылку, а пазней прызнала магчымасць эксплуатацыі, заявіўшы, што карыстальнікам варта быць асцярожнымі з тым, якія дадзеныя яны падключаюць да ШІ.
Падобная пазіцыя захоўваецца і зараз. У анонсе Cowork Anthropic папярэджвае аб рызыках промпт-ін’екцый і рэкамендуе не падключаць адчувальныя дакументы, абмяжоўваць працу браўзернага пашырэння даверанымі сайтамі і сачыць за «падазронымі дзеяннямі» агента. Крытыкі адзначаюць, што такія патрабаванні складана рэалізаваць для звычайных карыстальнікаў, не знаёмых з архітэктурай ШІ-сістэм.
Гэта не першы выпадак, калі Anthropic адмаўляецца аператыўна ліквідаваць выяўленыя ўразлівасці. У 2025 годзе кампанія таксама не стала выпускаць патч для SQL-ін’екцыі ў сваім эталонным серверы SQLite MCP, спаслаўшыся на тое, што код быў архіваваны, нягледзячы на тысячы форкаў.
У адказ на новую справаздачу Anthropic заявіла, што промпт-ін’екцыі застаюцца агульнагаліновай праблемай, і паведаміла аб працы над дадатковымі мерамі абароны. У прыватнасці, кампанія паабяцала абнавіць віртуальную машыну Cowork, каб абмежаваць доступ да API, і выпусціць дадатковыя паляпшэнні бяспекі ў бліжэйшы час.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.