Claudeの脆弱性、AIエージェントに悪意あるプロンプトを自動送信

Anthropicの「Claude Desktop」アプリケーションに存在した脆弱性により、攻撃者はワンクリックで、しかもユーザーの操作を一切介さずに、悪意あるプロンプトをAIアシスタントに自動送信できる状態にありました。Anthropicはすでにこの脆弱性を修正していますが、この事例はAIエージェントを悪用したプロンプトインジェクション攻撃が新たな段階に到達しつつあることを示しています。

Oasis Securityの研究者らがこの脆弱性を発見し、「PromptFiction」と命名しました。これは、同社が以前Claudeで発見した3件の脆弱性群「Claudy Day」と組み合わせることで、標的システムに対するエンドツーエンドの攻撃を可能にする恐れがあったと、水曜日に公開されたレポートは述べています。

Oasisのリサーチリード、Elad Luz氏はレポートの中で、これにより「ユーザーの過去の会話内容の静かな窃取や、Anthropic公式のFilesystem Serverがインストールされている場合にはローカルファイルへの読み書きアクセス、永続化、そして最終的には被害者のマシン上でのリモートコード実行」が可能になる恐れがあったと記しています。

PromptFictionが示すのは、プロンプトインジェクション攻撃の中でも、この種の脅威においてAIエージェントに対する従来の攻撃例に不可欠だった要素——ユーザーが気づかぬまま「Enter」や「送信」ボタンを押して悪意あるプロンプトを送信してしまうという行為——を必要としない手口です。Oasisが発見したのは、Claude Desktopが「claude://」というカスタムURIスキームを登録しており、細工された「claude://」リンクをクリックするだけでデスクトップアプリケーションが自動的に起動し、あらかじめ用意されたプロンプトがエージェントに自動送信されてしまうという事実です。

この仕組みでは「送信」という操作自体が存在しないため、レポートによれば「ユーザーがそれを確認する機会が一切ない」ことになります。

「ブラウザ、チャットメッセージ、文書、あるいは検索結果内のリンクを一度クリックするだけで、攻撃者が用意した命令をエージェントの目の前に突きつけ、実行させるには十分です」とLuz氏は記しています。

これに対しClaudy Dayは、あらかじめ内容が入力されたURLを通じて不可視のプロンプトをclaude.aiのチャットに紛れ込ませるという、別の形のプロンプトインジェクションを示すものでしたが、その手口ではユーザーがEnterキーを押してAIアシスタントにプロンプトを送信する操作がなお必要でした。

PromptFictionの発見は重複していた

Oasisは責任ある情報開示プログラムを通じてこの発見をAnthropicに報告し、この脆弱性はClaude Desktopバージョン1.1.2321で修正済みです。ユーザーはこのバージョン以降を利用していることを確認し、リスクを避けるべきです。

Oasisは、自社によるPromptFictionのレポートが重複した発見であったことを認めています。別の研究者が独自に同じ問題をAnthropicに報告していたものの、その研究者は自身の発見を公表しない選択をしていたためです。「彼らの功績に感謝するとともに、単独での発見であるとは主張しません」とLuz氏は記しています。

PromptFictionが責任ある形で開示され、迅速に修正されたことは「良い結果」だと、API セキュリティおよびボット管理を手がけるCequence SecurityのCISO(最高情報セキュリティ責任者)、Randolph Barr氏は指摘します。もっとも、この脆弱性自体は「データ露出から被害者のマシン上での潜在的なコード実行へとエスカレートしかねないもの」だったとも述べています。

さらに、こうした脆弱性がそもそも存在していたという事実自体が、新興技術におけるセキュリティ上の欠陥を巡る研究者と攻撃者の間の競争を、AIがいかに圧縮しているかを示している、とBarr氏は語ります

「防御側を助けるのと同じモデルが、攻撃者による脆弱性の発見と兵器化をも加速させています。つまり、脆弱性が存在してからパッチが提供されるまでの間隙こそが、組織が最もリスクにさらされる瞬間なのです」と同氏は述べます。

実際、これこそAI業界がその急速なペースに適応しなければならない部分だと、Luz氏は言います。「あらゆるリリースを人間が丁寧にレビューするという旧来のモデルは、このスピード感の前では成り立ちません」と同氏はDark Readingに語りました。AIエージェントをはじめとするアプリケーションを保護する最善の方法は、「同じAIツールをこの問題自体に向け直し、私たちが出荷するスピードと同じ速さで、出荷するものをレビューし保護させることです」と同氏は述べています。

PromptFiction攻撃の全貌

PromptFiction攻撃は、被害者がWebサイト、文書、チャットメッセージ、メール、検索結果など、ほぼあらゆる媒体を通じて配布された悪意あるclaude://リンクをクリックすることから始まります。Oasisによれば、これはZoomやメールの招待リンクがユーザーのデスクトップ上でアプリケーションを起動する仕組みとよく似ています。

しかし、このリンクは単にClaude Desktopを開くだけでなく、新しい会話を即座に開始し、ユーザーが確認・承認する間もなく、攻撃者が細工したプロンプトを自動的に送信するアプリケーションを起動してしまいます。

「カスタムURIスキームは便利なものです。WebサイトやほかのアプリからデスクトップアプリケーションへのディープリンクをWebサイトや他のアプリから張ることができます」とLuz氏は記しています。「しかし同時に、これは典型的なリスクの温床でもあります。というのも、リンクを起動する側の文脈(Webページ、メール、チャットなど)はしばしば攻撃者の影響を受けやすく、受け取る側のアプリケーションは、本来警戒すべき以上に引数の内容を信頼してしまいがちだからです」

怪しまれないようにするため、このプロンプトには無害なテキストが詰め込まれ、Claudeのメッセージ折りたたみ機能を悪用します。Oasisによれば、これにより悪意ある命令は会話の可視部分の下に隠されます。ユーザーには折りたたまれたメッセージを展開しない限り、一見無害な依頼しか見えません。

実行されると、この隠されたプロンプトはClaudeに対し攻撃者に代わって行動するよう指示します。これ単体でも十分に有効なプロンプトインジェクション攻撃ですが、前述の通りClaudy Dayの脆弱性群と組み合わせることで、注入された命令はユーザーの非公開の会話履歴やソースコード、社内文書を密かに取得したり、さらにはリモートコードを実行したりといった、他の悪意ある活動をも遂行できてしまうと、Oasisは述べています。

AIエージェントのリスクに先手を打つには

AIの能力がかつてないペースで加速する中、AIエージェントがシステムに組み込まれたガードレールをかいくぐる方法を見出すのは、時間の問題だったと言えるでしょう。PromptFictionはまさにその一例だと、自動化IoTサイバー衛生ソリューションを手がけるViakooの副社長John Gallagher氏は述べています。

「組織はAIエージェントを、IT部門の管理外で運用される運用技術(OT)やIoTデバイスと同様の、いわば『シャドーIT』の一形態として捉えるべきです」と同氏は言います。これらはしばしば強い権限を持つ一方で、企業ネットワークやストレージシステムへの横展開の足がかりにもなり得るためです。

防御側にはAIガバナンスの面でまだやるべきことが残っており、「この分野は明らかに不足している」とGallagher氏は語ります。「非人間アイデンティティの管理はまだ黎明期にあり、これはAIが、それを取り巻くべき適切な統制よりも先行してしまっている一例です」

したがって防御側は、個々の脆弱性のみに注目するのではなく、エージェントそのものを取り巻くセキュリティ統制を構築すべきだと、Barr氏は助言します。「AIエージェントと、それらがやり取りするあらゆる相手との間に、検査とポリシーの層を設けるべきです」と同氏は言います。

専門家によれば、これは実務上、エージェントのAPI通信を監視・統制して不審なデータ転送を検知・遮断すること、エージェントがアクセスできる宛先やAPI認証情報を制限すること、異常な挙動を検知すること、そして環境全体に展開されたMCPサーバーやプラグインの一覧を維持管理することを意味します。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/claude-flaw-malicious-prompts-ai-agents

ソース: darkreading.com