セキュリティ研究者は最近、AnthropicのClaude.aiプラットフォーム内で重大な攻撃チェーンを発見しました。
“Claudy Day”と呼ばれるこの脆弱性シーケンスは、攻撃者がプロンプト操作と悪質なリダイレクトを通じて、ユーザーの機密データを静かに抽出することを可能にします。
このエクスプロイトは外部統合や特殊なツールを必要とせず、デフォルトのClaudeセッション内で完全に機能します。
Anthropicは責任ある情報開示に従ってプロンプトインジェクションの脆弱性にパッチを適用し、残りの問題の修正が現在進行中です。
脅威のメカニズムを理解するために、研究者は完全な攻撃パイプラインを形成する3つの個別の欠陥を特定しました:
- 隠されたプロンプトインジェクション: 事前に入力されたClaude.ai URLパラメータに埋め込まれた悪質なHTMLタグが、被害者からコマンドを隠し、ユーザーがプロンプトと相互作用するときに攻撃者が隠された指示を実行することを可能にします。
- データ流出: 隠されたプロンプト内に攻撃者が管理するAPIキーを埋め込むことで、エクスプロイトはClaudeを強制的にユーザーのチャット履歴を検索させ、機密データを攻撃者のAnthropic Files APIアカウントに直接アップロードさせます。
- オープンリダイレクト: メインのclaude.comドメイン上の検証されていないリダイレクトは、Google広告を通じて悪用され、ユーザーを信頼できると思われる正当な検索結果のように見える悪質なリンクをクリックするよう騙すことができます。
このエクスプロイトは、これら3つの独立した問題を連鎖させて、ユーザーの信頼とセキュリティコントロールをバイパスすることに依存しています。
攻撃者は、メインのAnthropicドメイン上のオープンリダイレクト脆弱性を悪用することから始めます。
信頼されたホスト名に基づいてURLを検証するGoogle広告を活用することで、脅威行為者は一見正当な検索結果を表示することができます。
被害者がリンクをクリックすると、警告なしに特殊なインジェクションURLへ静かにリダイレクトされます。
この悪質なURLはClaude’sチャットプロンプト事前入力機能を活用します。隠されたHTML指示はAIに以前の会話ログをスキャンさせ、財務計画、医療上の懸念、または企業秘密などの機密情報を要約させます。
その後、AIはこのデータをファイルに書き込み、攻撃者が管理するアカウントにアップロードし、標準的なアウトバウンドネットワーク制限をバイパスします。
すぐに使える攻撃が履歴チャットデータを抽出する一方で、ユーザーがClaudeを外部エンタープライズアプリケーションに接続すると、潜在的な損害が倍増します。
Model Context Protocol(MCP)サーバー、サードパーティAPI、または企業ファイルがAIエージェントにリンクされている場合、隠されたプロンプトはそれらのリソースへの即座アクセスを取得します。
AIは被害者が攻撃が進行中であることに気付く前に、安全なファイルを静かに読んだり、内部サービスと相互作用したりすることができます。
脅威行為者はさらに、ターゲット広告機能を使用してこのエクスプロイトを特定の業界または人口統計に展開し、一般的な欠陥を精密兵器に変えることができます。
エージェントエクスプロイトからの防御
AIの環境の保護には、エージェントが企業データと外部サービスとどのように相互作用するかについて、厳格な監視が必要です。
組織は積極的にAI統合を監査し、不要なMCPサーバーを無効にし、API アクセスを制限して、侵害されたプロンプトの潜在的なブラスト半径を制限する必要があります。
Oasis Securityの研究者のセキュリティチームは、AIエージェントを人間ユーザーまたはサービスアカウントと同じくらい厳密に扱い、厳格なアクセスコントロール、意図分析、継続的な監視を実装する必要があります。
共有リンクと事前に入力されたAIプロンプトの危険性について従業員を教育することも、防御の重要な手段として機能します。
ほとんどのユーザーはAIチャットウィンドウを攻撃対象表面と見なしていません。AIツールがより多くの自律的機能を獲得するにつれて、現代的なエンタープライズにおける静かな侵害を防ぐために、積極的なアイデンティティとアクセス管理が不可欠になります。
翻訳元: https://gbhackers.com/claude-vulnerabilities-allow-data-exfiltration/
