「Claudy Day」攻擊鏈:揭秘 Anthropic Claude 中的漏洞
Oasis Security 的研究人員揭露了一項針對 Anthropic Claude AI 助手用戶的複雜多階段攻擊鏈。這項被稱為「Claudy Day」的發現凸顯了生成式 AI(Generative AI)安全中一個至關重要且經常被忽視的組成部分:交付機制的完整性以及用戶輸入與模型指令之間的隱藏邊界。
這次攻擊利用了三種不同漏洞的組合,允許威脅行為者從用戶的對話歷史中靜默竊取敏感數據。值得注意的是,該攻擊不需要部署傳統的惡意軟件、網絡釣魚郵件或可疑的文件下載。相反,它利用了 AI 平台交互流程的固有設計,將 AI 自身的功能轉變為數據竊取引擎。
了解「Claudy Day」的構造
「Claudy Day」攻擊的巧妙——以及危險——之處在於其簡單性。它將三個漏洞(單獨來看可能被視為輕微或「低影響」)結合到一個凝聚的管道中,從而實現靜默數據竊取。根據 Oasis Security 研究團隊的說法,該攻擊管道允許威脅行為者通過 Google 廣告(Google Ads)交付有毒鏈接,進而在 Claude 環境中執行隱藏命令。
三大漏洞
攻擊依賴於特定序列來實現其目標。每個組件在確保欺騙用戶、操縱模型以及成功竊取數據方面都發揮著至關重要的作用。
下表總結了在「Claudy Day」攻擊鏈中識別出的三個漏洞:
| 組件 | 機制 | 安全影響 |
|---|---|---|
| 通過 URL 進行 提示詞注入(Prompt Injection) | ?q= 參數中的隱藏 HTML 屬性 |
Claude 執行對用戶隱藏的指令,覆蓋正常行為。 |
| Files API 數據竊取 | 未經授權使用 Anthropic 的 Files API |
能夠將數據傳輸到沙盒環境中受攻擊者控制的存儲空間。 |
| 開放重定向(Open Redirect) | claude.com/redirect/ 上的漏洞 |
允許攻擊者將惡意鏈接掩飾為合法流量,繞過用戶懷疑。 |
逐步執行:攻擊如何展開
「Claudy Day」攻擊的生命週期早在用戶與 AI 交互之前就已開始。通過利用 claude.com 上的 開放重定向(open redirect) 漏洞,攻擊者可以製作看似源自合法 Anthropic 域名的 URL。當與搜索廣告結合時,這種能力尤其致命;攻擊者可以創建一個 Google 廣告,顯示受信任的 claude.com URL,而實際上引導用戶進入一個有毒的重定向點。
一旦用戶點擊廣告,他們就會被重定向到一個專門製作的 claude.ai/new?q= URL。此 URL 包含一個預填寫的提示詞。至關重要的是,研究人員發現界面未能過濾掉放置在這些 URL 參數中的 HTML 標籤。雖然用戶在聊天框中看到的是良性的預填寫文本,但模型本身接收並執行了嵌入在底層 HTML 屬性中的隱藏命令。
最後階段——數據竊取——或許是最隱蔽的。由於 Claude 沙盒旨在阻止與外部服務器的出站連接,研究人員指出,直接向攻擊者服務器發起的「回傳(call home)」將會失敗。相反,攻擊利用了平台內部的 Files API。隱藏的提示詞指示 Claude 收集對話數據,將其寫入文件,並通過 Files API 將其上傳到攻擊者的存儲空間。隨後,攻擊者可以在方便時檢索數據,使用戶完全意識不到其聊天記錄已被洩露。
對生成式 AI 安全的啟示
「Claudy Day」的披露及時提醒了代理式 AI(agentic AI)中固有的不斷演變的攻擊面。隨著企業越來越多地將 AI 代理集成到其工作流程中——通常授予它們訪問內部文檔、代碼庫和第三方 API 的權限——此類「低技術」漏洞產生高影響後果的潛力顯著增加。
重新思考「首條提示詞」信任邊界
這項研究最深刻的啟示之一是「首次交互」的脆弱性。在許多 AI 實現中,模型在用戶打開界面時就已準備好採取行動。「Claudy Day」攻擊凸顯了這是一個關鍵的安全邊界。由於注入的提示詞在對話一開始就到達,代理在建立信任關係或進行任何手動用戶驗證之前就處理了該命令。
行業專家建議,AI 平台必須對初始提示詞轉向「零信任(zero-trust)」模型。這將涉及:
- 用戶明確批准: 要求用戶手動確認或批准任何涉及工具、API 或內存檢索的操作,特別是在對話的初始回合中。
- 提示詞清理(Prompt Sanitization): 確保所有輸入(無論是來自 URL 參數、瀏覽器歷史記錄還是外部集成)都經過嚴格清理,且模型無法執行隱藏的、用戶不可見的指令。
- 訪問控制粒度: 以處理特權服務帳戶相同的安全嚴謹性來對待 AI 代理。這意味著應用最小權限原則(principle of least privilege),確保即使代理通過提示詞注入受到侵害,其與敏感 API(如 Files API)交互的能力也會受到限制。
展望未來:加強 AI 防禦
Anthropic 已經採取行動解決「Claudy Day」鏈中識別出的特定漏洞,修補了提示詞注入問題,並正在致力於其他漏洞的修復。然而,這一事件為更廣泛的 AI 安全(AI security) 領域敲響了警鐘。
對於開發和部署 AI 代理的組織來說,教訓顯而易見:安全不能是事後才考慮的事情。提示詞完整性必須被視為核心安全控制。隨著行業轉向能夠執行複雜任務的更自主的代理,依賴模型的「良好行為」並非充分的策略。安全團隊必須考慮到交付機制——URL、搜索結果、電子郵件——是操縱矢量的可能性,並據此設計 AI 的權限框架。
「Claudy Day」研究強調,儘管生成式 AI 技術不斷進步,但安全軟件開發的基礎原則保持不變。即使是最先進的模型,其安全性也僅取決於託管它的系統以及用戶抵達的渠道。
