Anthropic столкнулась с утечкой данных в новом ИИ-ассистенте Cowork: уязвимость, ранее обнаруженная в Claude Code, перекочевала в новый продукт и позволяет злоумышленникам похищать файлы через промпт-инъекции.
Anthropic столкнулась с утечкой данных в новом ИИ-ассистенте Cowork: уязвимость, ранее обнаруженная в Claude Code, перекочевала в новый продукт и позволяет злоумышленникам похищать файлы через промпт-инъекции.
О проблеме сообщила компания PromptArmor, специализирующаяся на поиске уязвимостей в ИИ-системах. По ее данным, Cowork можно обманом заставить отправлять файлы пользователя на сторонний аккаунт Anthropic — без дополнительного подтверждения со стороны владельца данных, если доступ к папке уже был предоставлен.
Cowork, запущенный на этой неделе в формате research preview, предназначен для автоматизации офисной работы: он анализирует документы, таблицы и другие рабочие файлы. Однако именно это делает его особенно уязвимым. Достаточно подключить Cowork к папке с чувствительными данными и загрузить документ со скрытой промпт-инъекцией. При анализе файлов встроенная команда активируется и запускает передачу данных атакующему.
В демонстрации PromptArmor использовалась команда к Files API Anthropic, которая загружала самый крупный файл в систему злоумышленника. В результате атакующий смог получить доступ к финансовой информации и персональным данным из документа через собственный аккаунт Claude.
Сценарий атаки повторяет уязвимость Files API, о которой еще в октябре 2025 года сообщал исследователь безопасности Йоханн Ребергер в контексте Claude Code. Тогда Anthropic сначала закрыла отчет об ошибке, а позже признала возможность эксплуатации, заявив, что пользователям следует быть осторожными с тем, какие данные они подключают к ИИ.
Подобная позиция сохраняется и сейчас. В анонсе Cowork Anthropic предупреждает о рисках промпт-инъекций и рекомендует не подключать чувствительные документы, ограничивать работу браузерного расширения доверенными сайтами и следить за «подозрительными действиями» агента. Критики отмечают, что такие требования трудно реализуемы для обычных пользователей, не знакомых с архитектурой ИИ-систем.
Это не первый случай, когда Anthropic отказывается оперативно устранять выявленные уязвимости. В 2025 году компания также не стала выпускать патч для SQL-инъекции в своем эталонном сервере SQLite MCP, сославшись на то, что код был архивирован, несмотря на тысячи форков.
В ответ на новый отчет Anthropic заявила, что промпт-инъекции остаются общеотраслевой проблемой, и сообщила о работе над дополнительными мерами защиты. В частности, компания пообещала обновить виртуальную машину Cowork, чтобы ограничить доступ к API, и выпустить дополнительные улучшения безопасности в ближайшее время.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.