FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述

Anthropic公司Claude AI助手最新披露的漏洞显示，攻击者能够利用该平台的代码解释器功能悄无声息地窃取企业数据，甚至绕过默认安全设置。安全研究人员Johann Rehberger证实，通过间接提示注入（indirect prompt injection）可操控Claude的代码解释器窃取敏感信息，包括聊天记录、上传文档以及通过集成服务访问的数据。该攻击利用Claude自身的API基础设施，将被盗数据直接发送至攻击者控制的账户。

攻击原理

该漏洞利用了Claude网络访问控制的关键疏漏。虽然平台默认的"仅限包管理器"设置限制了与npm和PyPI等获批准域的出站连接，但仍允许访问api.anthropic.com——攻击者正可滥用此端点进行数据窃取。

研究人员设计的攻击链依赖于间接提示注入技术，恶意指令被隐藏在用户要求Claude分析的文档、网站或其他内容中。一旦触发，攻击将执行多阶段流程：

1. Claude检索敏感数据（如使用平台新引入的记忆功能获取最近对话历史），并将其写入代码解释器沙盒中的文件
2. 恶意负载指示Claude执行Python代码，将文件上传至Anthropic的Files API
3. 关键区别在于：上传使用攻击者的API密钥而非受害者的

"这段代码发出从沙盒上传文件的请求，但存在关键差异，"Rehberger在博客中指出，"文件不会上传至用户的Anthropic账户，而是攻击者的账户，因为它使用了攻击者的ANTHROPIC_API_KEY。"根据Anthropic的API文档，该技术允许每个文件最多泄露30MB数据，且上传文件数量不受限制。

绕过AI安全控制

Rehberger的报告指出，由于Claude内置的安全机制，开发可靠攻击方法颇具挑战性。该AI最初会拒绝包含明文API密钥的请求，将其识别为可疑行为。但Rehberger发现，将恶意代码与良性指令（如简单的print语句）混合足以绕过这些保护措施。

"我尝试了XOR和base64编码等技巧，都不太可靠，"Rehberger解释道，"但我找到了解决方法...只需混入大量良性代码，如print('Hello, world')，就能让Claude相信没有太多恶意行为发生。"

Rehberger于2025年10月25日通过HackerOne向Anthropic披露该漏洞。公司在一小时内关闭了报告，将其归类为"超出范围"，并描述为模型安全问题而非安全漏洞。Rehberger对此分类提出异议："我不认为这只是安全问题，而是默认网络出口配置导致的安全漏洞，可能导致私人信息泄露。安全保护你免受意外伤害，安防保护你免受对手攻击。"Anthropic未立即回应置评请求。

攻击向量与现实风险

该漏洞可通过多个入口点利用。"恶意行为者可将提示注入负载嵌入待分析文档、用户要求Claude总结的网站，或通过模型上下文协议(MCP)服务器和Google Drive集成访问的数据中，"博客补充道。

使用Claude处理敏感任务（如分析机密文档、处理客户数据或访问内部知识库）的组织面临特殊风险。由于泄露通过合法的API调用实现，与正常Claude操作混杂，攻击几乎不留痕迹。

对企业而言，缓解措施十分有限。用户可完全禁用网络访问或手动配置特定域的白名单，但这会显著降低Claude功能。Anthropic建议监控Claude行为并在检测到可疑活动时手动停止执行——Rehberger称这种方法为"危险生存"。

公司的安全文档也承认该风险："这意味着Claude可能被诱骗将其上下文中的信息（如提示、项目、通过MCP和Google集成的数据）发送给恶意第三方，"Rehberger指出。但企业可能错误认为默认的"仅限包管理器"配置提供足够保护，Rehberger的研究证明这种假设是错误的。为保护用户，在漏洞未修复前，Rehberger未公布完整攻击代码。他指出Anthropic批准列表中的其他域可能存在类似利用机会。

参考来源：

Claude AI vulnerability exposes enterprise data through code interpreter exploit

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）