プロンプトインジェクションのリスクを軽視するAnthropicの傾向が、同社の新しい生産性AI「Cowork」で再び表面化している。Coworkは、昨年10月に最初に開示され、Anthropicも認識しながら修正しなかったFiles APIの流出攻撃チェーンの影響を受けている。
AI脆弱性の発見を専門とするセキュリティ企業PromptArmorは、水曜日に報告し、Coworkがプロンプトインジェクションによってだまされ、アクセスが一度許可されると追加のユーザー承認なしに、機密ファイルを攻撃者のAnthropicアカウントへ送信してしまう可能性があると述べた。
この手順は比較的単純で、PromptArmorが説明するように「増え続ける」攻撃面の一部だ。さらに、Coworkが非開発者ユーザー向けに売り込まれており、AIエージェントにどのファイルやフォルダを接続するかを深く考えない可能性があることで、リスクは増幅される。
Coworkは月曜日にリサーチプレビューとして公開され、スプレッドシートなど、デスクワーカーが日常的に扱う各種ドキュメントをスキャンすることで、オフィス業務を自動化するよう設計されている。
攻撃を発動させるために潜在的な被害者がする必要があるのは、機密情報を含むローカルフォルダにCoworkを接続し、隠しプロンプトインジェクションを含む文書をアップロードすることだけだ。すると、Coworkがそれらのファイルを分析した際に注入されたプロンプトが発火する。
PromptArmorの概念実証では、AnthropicのファイルアップロードAPIに対するcurlコマンドを用い、利用可能な最大のファイルを攻撃者のAPIキーへアップロードするよう要求した。これにより、そのファイルは攻撃者自身のAnthropicアカウントを通じて利用可能になる。PromptArmorは不動産関連ファイルでこれを実演し、模擬攻撃者はその後Claudeを介して照会し、文書に記載された個人の財務情報やPIIを取得できた。
この欠陥は、セキュリティ研究者Johann Rehbergerが昨年10月にClaude Codeに関してAnthropicへ報告したのと同じ、基本的なFiles API流出の手口に沿っている。当時RehbergerがAnthropicから受けた反応はかなり冷淡で、同社はまず彼のバグ報告をクローズし、その後になってプロンプトインジェクション攻撃でAPIをだましてデータを流出させることが可能であり、ユーザーはボットに何を接続するか注意すべきだと認めた。
私たちは10月に、Anthropicが例えば、API経由で別アカウントへファイルが送信されていないことを確認するAPIチェックを実装する、といった単純な対策を検討するかどうか尋ねたが、Anthropicは回答しなかった。
Coworkでこの問題が生じたことに対するAnthropicの反応も、同様に「これはあなたの責任なので注意して」というもののようで、同社はCoworkの発表でプロンプトインジェクション攻撃が問題であると記している。
「私たちはプロンプトインジェクションに対する高度な防御を構築してきましたが、エージェントの安全性、すなわちClaudeの現実世界での行動を安全にするという課題は、業界において依然として活発に開発が進む分野です」とAnthropicは述べた。
「これらのリスクはCoworkで新しく生じたものではありませんが、単なる会話を超えて動く、より高度なツールをあなたが使うのは初めてかもしれません」と同社は続けた。Coworkは、従来のツールよりもはるかに広いユーザー範囲を対象とするエージェント型ツールだからだ。
これらのリスクを軽減するため、AnthropicはCoworkユーザーに対し、Coworkを機密文書に接続しないこと、Chrome拡張機能を信頼できるサイトに限定すること、そして「プロンプトインジェクションを示唆する不審な行動」を監視することを警告している。
開発者でありプロンプトインジェクションを懸念する人物でもあるSimon Willisonは、Coworkの実地レビューで、AIの複雑さに馴染みのない人々にとってそれは大きな要求だと述べた。
「一般の非プログラマーのユーザーに『プロンプトインジェクションを示唆する不審な行動』に注意しろと言うのは、公平ではないと思います」とWillisonは語った。
一度は事故、二度は偶然……
Anthropicが報告された欠陥は修正しないと主張したのは、これが初めてではない。
2025年6月、Trend Microは、外部データソースに接続するためのAnthropicのオープンソース参照実装であるSQLite MCPサーバーに、古典的なSQLインジェクションの欠陥が含まれていると開示した。Anthropicは、影響を受けたコードを含むGitHubリポジトリが2025年5月にアーカイブされており、この問題はスコープ外で、パッチの予定はないと述べた。
残念ながら、そのSQLite MCPサーバーはアーカイブされる前にすでに5,000回以上フォークまたはコピーされており、脆弱なコードが多数の下流プロジェクトにわたって流通し続けている可能性がある。
Anthropicは6月に、同問題に関するTrend Microの分析に同意しないと私たちに語り、アーカイブ済みコードの修正を提供する代わりに、ツールが行うことを人間が監視し承認すべきだというMCP仕様のガイダンスをユーザーに示した。
「MCP仕様はこの種のツールに対して人間の監督を推奨しています。常に人間が介在し、ツール呼び出しを拒否できる能力を持つべきであり、つまりユーザーは実行前にこれらのクエリをレビューすることになります」と、Anthropicの広報担当者は昨夏私たちに語った。
PromptArmorの報告は、Rehbergerが昨年報告したのと同じ問題に依拠している可能性があるが、プロンプトインジェクションに関するその言い回しは、Anthropicがリスクをユーザーが管理すべきものとして位置づけていることを改めて示している。
現在2つの製品に存在するAPIプロンプトインジェクション問題にどう対処しているのかと尋ねられると、AnthropicはThe Registerに対し、プロンプトインジェクションは業界全体の問題であり、AI分野の誰もが解決しようとしていると述べた。
とはいえ、Anthropicの広報担当者は、Coworkでプラットフォームの機密ファイルやディレクトリへのアクセスを最小化するよう設計された仮想マシンを使用するなど、製品におけるプロンプトインジェクションを最小化する方法にも取り組んでいると主張した。Anthropicは、脆弱なAPIとの相互作用を改善するために本日Cowork VMのアップデートを提供する予定であり、他のセキュリティ改善も今後提供されると私たちに語った。
Anthropicはまた、Coworkがリサーチプレビューとして公開されていることを強調し、ユーザーにフィードバックやセキュリティ上の提案を送るよう呼びかけた。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/15/anthropics_claude_bug_cowork/
