- Claude Cowork के code execution environment की एक कमजोरी का उपयोग करके, हमलावर उपयोगकर्ता की फ़ाइलों को अपने Anthropic account में upload कर सकता है
- यह कमजोरी Claude.ai chat environment में पहले ही report की जा चुकी थी, लेकिन ठीक नहीं की गई, और Cowork में भी उसी रूप में मौजूद है
- हमला छिपे हुए prompt injection वाले document file के ज़रिए चलता है, और Cowork उसे analyze करते समय अपने-आप फ़ाइल को बाहर भेज देता है
- मानव approval के बिना Cowork हमलावर की API key का उपयोग करके Anthropic API के माध्यम से data exfiltration करता है
- यह संरचना आम उपयोगकर्ताओं को आसानी से expose कर सकती है, और AI agent की security risk तथा prompt injection defense के महत्व को उजागर करती है
कमजोरी का अवलोकन
- Claude Cowork, Anthropic द्वारा जारी किया गया general-purpose work AI agent research preview है, जिसमें internet access capability शामिल है
- PromptArmor ने दिखाया कि Cowork के coding environment में बची हुई unpatched vulnerability का उपयोग करके उपयोगकर्ता की फ़ाइलों को बाहर लीक किया जा सकता है
- यह कमजोरी पहले Johann Rehberger ने Claude.ai में खोजकर public की थी, और Anthropic इसके बारे में जानता था लेकिन इसे ठीक नहीं किया
- Anthropic ने Cowork उपयोग करते समय “prompt injection का संदेह पैदा करने वाले व्यवहार पर ध्यान दें” जैसी चेतावनी दी, लेकिन इसे non-expert users के लिए व्यवहारिक रूप से कठिन मांग बताया गया
- PromptArmor ने इस जोखिम के बारे में उपयोगकर्ताओं को आगाह करने के लिए public demonstration किया
हमला श्रृंखला (Attack Chain)
- हमला Anthropic API की allowlist का दुरुपयोग करके Claude के VM environment से data को बाहर भेजता है
- उपयोगकर्ता गोपनीय real estate files वाले local folder को Cowork से connect करता है
- उपयोगकर्ता hidden prompt injection वाला document file (.docx) upload करता है
- document को ‘Skill’ file के रूप में disguise किया गया है, और injection 1-point white text और 0.1 line spacing में छिपा होता है
- उपयोगकर्ता upload की गई ‘Skill’ का उपयोग करके Cowork से file analysis का अनुरोध करता है
- injection, Cowork को manipulate करके हमलावर की Anthropic API key का उपयोग करने वाला cURL request चलवाता है, जिससे उपयोगकर्ता की फ़ाइलें हमलावर के account में upload हो जाती हैं
- मानव approval प्रक्रिया के बिना automatic execution
- Claude का VM अधिकांश external network को block करता है, लेकिन Anthropic API trusted destination के रूप में pass हो जाता है
- हमलावर अपने Anthropic account में पीड़ित की फ़ाइलें देख सकता है और Claude से बातचीत कर सकता है
- लीक हुई फ़ाइलों में financial information और partial social security number (SSN) शामिल थे
मॉडल-विशिष्ट resilience (Model-specific Resilience)
- ऊपर का हमला Claude Haiku model पर demonstrate किया गया
- Claude Opus 4.5 में injection resistance अधिक है, लेकिन Cowork environment में indirect prompt injection के माध्यम से वही file upload vulnerability फिर भी exploit की जा सकती है
- test में यह मान लिया गया कि उपयोगकर्ता ने malicious integration guide upload किया है, और customer records हमलावर के account में exfiltrate हो गए
malformed files के ज़रिए service denial (DOS via Malformed Files)
- Claude का API file extension और actual format मेल न खाने पर बार-बार errors पैदा करता है
- उदाहरण: यदि
.pdf extension वाली simple text file पढ़ने की कोशिश की जाए, तो उसके बाद सभी conversations में API error होने लगती है
- ऐसे errors को indirect prompt injection के ज़रिए limited denial-of-service (DOS) attack में बदला जा सकता है
- malformed file generate और upload करवाकर Claude client और Anthropic console में error alerts उत्पन्न किए जा सकते हैं
agentic blast radius का जोखिम
- Cowork को browser, MCP server, AppleScript control आदि सहित रोज़मर्रा के work environment के व्यापक हिस्सों के साथ interact करने के लिए design किया गया है
- इससे sensitive data और untrusted data के mixed processing की संभावना बढ़ जाती है
- prompt injection attack surface लगातार फैल रहा है, और connector configure करते समय सावधानी आवश्यक है
- इस demonstration में connector का उपयोग नहीं किया गया, लेकिन connector आम उपयोगकर्ताओं के लिए प्रमुख risk factor बन सकते हैं
अभी कोई टिप्पणी नहीं है.