AIチャットへの通常のハイパーリンクは容易に危険な罠に見えることがあります。Oasis Securityの先駆者たちは、Claude.ai内において、綿密に作成されたアドレスに移動してEnterキーを押すだけで、利用者が知らないうちに補助システムに秘密の指示を実行させるのに十分であることを明らかにしました。
この困難の根本は「Claudy Day」と名付けられた複雑な脆弱性の連鎖です。この障害はClaude.aiサービスとclaude.comプラットフォームの両方に影を落としました。不聖なる相乗作用で作用して、これらの異常により悪意のある者たちが知られないようにクエリに有毒な指示を織り込み、人工知能に個人的で親密なデータを収集させ、その後デジタル略奪者に流出させることができるようになりました。
この動的な攻撃のアーキテクチャは見た目には単純に見えました。Claude.aiはハイパーリンク内に埋め込まれた特別なパラメータを通じて、テキストで事前に入力された新しいチャットの生成を容易にします。この正にそのパラメータ内で、攻撃者は秘密のHTMLタグを見事に埋め込みました。対象者は自分のクエリの通常のテキストしか知覚しませんでした。しかし、送信時にClaudeは同時に見えない層を処理し、データの略奪に専念する悪質な指令を含むことができました。
こうして包囲の第二段階が始まりました。内在するコード実行環境は外部サーバーへのアクセスに厳格な制限を課しますが、api.anthropic.comへの接続については許可を与えています。悪意のある者は秘かに自分の主権を持つアクセスキーをクエリの隠蔽されたフラグメントに追加し、Claudeに会話履歴の記録から深く機密性の高い情報を探索し、それをデジタルアーカイブ内に格納し、ファイル操作インターフェイスを通じて攻撃者の主権を持つアカウントに直接持ち上げるよう指示します。その後、略奪された情報は冷徹な不処罰で収集することができました。
第三の困難はclaude.comドメイン上のリダイレクトのアーキテクチャに関するものでした。/redirect/という命名法を持つハイパーリンクは、最小限の検証もなく外部リソースに向けました。攻撃者は一見堅牢なclaude.comアドレスを持つ検索広告を埋め込むことができました。しかし相互作用時に、このルートは被害者を埋め込まれた伝染を保持する避難所に猛烈に転向させました。結果として、利用者は単純なフィッシングメールの被害者ではなく、一見「本物の」検索結果の被害者となり、本物の成果物と事実上区別がつきませんでした。
統合されていなくても、Claudeは会話履歴と記憶準備の広がるタペストリーへの絶対的なアクセスを持っています。このような爆撃を通じて、悪意のある者は企業の設計図、金融テレメトリー、親密な健康ファイル、または深く個人的なデータを容易に抽出できます。外部サービスとエンタープライズツールが切り離せないほど結びついている場合、危険の大きさは急速に増加します。補助システムは突然、機密アーカイブを閲覧し、アプリケーション・プログラミング・インターフェイスに請願し、利用者の代わりに完全に動的なアクションをオーケストレーションする主権を与えられます。
これらの脆弱性の一部は既に成功裏に封じられています。特に、Anthropicの建築家たちは秘かな秘密指示の埋め込みを巡る困難を決定的に克服しました。残りのアーキテクチャ異常を修正するための絶えない取り組みは継続されています。
