Koi Securityの研究者は、Anthropicが公式に提供するClaude Desktop向け拡張機能のうち3つが、プロンプトインジェクションに対して脆弱であったことを発見した。
これらの脆弱性は7月3日にAnthropicのHackerOneプログラムを通じて報告され、高深刻度(CVSS 8.9)として検証されたもので、Chrome、iMessage、Apple Notesのコネクターに影響した。
これらの拡張機能は、Anthropicのマーケットプレイスからダウンロード可能な、パッケージ化されたModel Context Protocol(MCP)サーバーである。これにより、Anthropicのすべてのツールが依拠する基盤の大規模言語モデル(LLM)であるClaudeが、接続されたWebやアプリケーションを用いてユーザーの代わりに動作できるようになる。
一見すると、これらの拡張機能はChrome拡張などのブラウザー拡張機能と非常によく似ており、同じワンクリックのインストール体験を提供する。
サンドボックス外の拡張機能における未サニタイズのコマンドインジェクション
Chrome拡張機能はサンドボックス化されたブラウザープロセス内で動作する一方、Claude Desktop拡張機能はユーザーのデバイス上で完全にサンドボックスなしで動作し、システム全体の権限を持つ。
「つまり、あらゆるファイルを読み取り、あらゆるコマンドを実行し、認証情報にアクセスし、システム設定を変更できるということです。軽量なプラグインではなく、ClaudeのAIモデルとあなたのオペレーティングシステムを橋渡しする特権実行者なのです」とKoi Securityの研究者は、11月5日のレポートに記した。
3つの拡張機能に影響した脆弱性は、未サニタイズのコマンドインジェクションに起因するもので、悪意ある攻撃者がClaude Desktopにアクセスされるコンテンツを巧妙に作成できた場合、Claudeへの一見無害な質問が、マシン上でのリモートコード実行(RCE)へと転化し得る。
アシスタントは善意で動作しているため、正当な指示に従っていると信じて悪意あるコマンドを実行してしまう。
その結果、攻撃者はSSHキー、AWS認証情報、ブラウザーのパスワードなどの重要情報を収集できる可能性がある。
これらの脆弱性は、Anthropicによりバージョン0.1.9で完全に修正された。これらの修正は9月19日にKoi Securityによって検証された。
翻訳元: https://www.infosecurity-magazine.com/news/claude-desktop-extensions-prompt/
