AnthropicのCowork、既知の脆弱性を抱えたままリリース

セキュリティ研究者らは、Anthropicの新しいClaude Cowork生産性エージェントがだまされてユーザーのファイルを盗み、攻撃者のアカウントにアップロードしてしまうことを実証した。これは、同社が把握していたとされるものの3カ月間修正されなかった脆弱性を悪用するものだ。

この脆弱性により、攻撃者はプロンプトインジェクションを通じてCoworkを操作し、被害者から追加の承認を得ることなく、ユーザーファイルを攻撃者のAnthropicアカウントへアップロードさせることができる。セキュリティ企業PromptArmorは、この人工知能エージェントに対して攻撃がどのように機能するかを示す概念実証を公開した。

攻撃の連鎖は、ユーザーが機密情報を含むローカルフォルダーにCoworkを接続するところから始まる。ユーザーは、隠されたプロンプトインジェクションを含む文書をアップロードする。Coworkがファイルを解析すると、注入されたプロンプトが自動的に発火する。PromptArmorは、悪意ある文書がClaude Skill（ユーザーがAIの機能を拡張するためにアップロードできる指示ファイルの一種）を装うシナリオでこれを実証した。

このインジェクションは、被害者のAPIキーではなく攻撃者のAPIキーを用いて、AnthropicのファイルアップロードAPIに対してcurlコマンドを実行するようClaudeに指示する。Claudeが実行するコードは、ほぼすべてのドメインへの外向きネットワークリクエストを制限する仮想マシン上で動作するが、Anthropic APIは信頼済みとしてホワイトリストに登録されているため、攻撃が成功してしまう。

この脆弱性はClaude Haikuと、同社のフラッグシップモデルであるClaude Opus 4.5に影響する。PromptArmorは、新しいAIツールを開発する過程で、模擬ユーザーが悪意ある統合ガイドをアップロードした際に、Opus 4.5からデータが流出することを実証した。同社は、プロンプトインジェクションはモデルの知能の不足ではなくアーキテクチャ上の脆弱性を突くものであり、推論では防御にならないと述べた。

セキュリティ研究者のJohann Rehbergerは2025年10月、HackerOneを通じてFiles APIの流出脆弱性をAnthropicに初めて開示した。彼によれば、Anthropicはその1時間後にバグ報告をクローズし、問題はスコープ外だとして退け、セキュリティ脆弱性ではなくモデル安全性の懸念として分類したという。

Rehbergerによると、同月にAnthropicは、データ流出の脆弱性は報告対象のスコープ内であると伝えるために再度連絡してきた。しかし彼は、同社が修正を実装しなかったと述べた。最初の開示から約3カ月後の1月13日にCoworkがローンチされた時点でも、APIは依然として脆弱なままだった。

リスクを軽減するため、AnthropicはCoworkユーザーに対し、機密文書にツールを接続しないこと、Chrome拡張機能を信頼できるサイトに限定すること、プロンプトインジェクションを示す可能性のある不審な動作を監視することを助言した。Coworkをレビューした開発者Simon Willisonは、同社のアプローチに疑問を呈した。「一般の、プログラマーではないユーザーに対して『プロンプトインジェクションを示す可能性のある不審な動作』に注意するよう求めるのは、公平ではないと思います」とWillisonは述べた。

Anthropicは、Coworkはエージェント的な性質とインターネットアクセスにより固有のリスクがある研究プレビューとしてリリースされたと述べた。同社は、脆弱なAPIとの相互作用を改善するためにCowork仮想マシンの更新を提供する計画であり、そのほかのセキュリティ改善も続くとしている。

PromptArmorの研究者らはまた、ファイルが主張する種類と一致しない場合にClaudeのAPIがうまく動作しないことも発見した。実際にはテキストファイルである不正なPDFを処理すると、Claudeは会話内の以降のすべてのチャットでAPIエラーを投げる。研究者らは、この不具合が間接的なプロンプトインジェクションを通じて悪用され、限定的なサービス拒否攻撃を引き起こす可能性があると述べた。

この脆弱性のより広範な影響は、ファイル流出にとどまらない。Coworkは、ブラウザーや、テキスト送信やAppleScriptsによるMacの制御といった機能を付与するモデルコンテキストプロトコルサーバーを含む、ユーザーの作業環境全体と相互作用するよう設計されている。これらの機能により、ユーザーがインジェクションの有無を手動で確認しない機密かつ信頼できないデータソースをモデルが処理する可能性が高まり、PromptArmorが「増え続ける攻撃対象領域」と表現する状況を生み出している。