Claude API可被用於竊取資料

資安專家警告Anthropic的Claude檔案上傳用的Files API，可被用來竊取企業資料。Anthropic正儘速修補本漏洞。

最近Anthropic為Claude助理的Code Interpreter加入執行網路呼叫的功能。但研究人員Johann Rehberger說這功能暗藏了一個設計問題。他解釋，Claude 的Code Interpreter啟用網路存取功能。根據Anthropic的文件，為確保功能性和安全平衡，這項功能預設Claude對外連線僅能連到核准的套件管理員，像是npm、PyPI、GitHub、Python、Ubuntu、Yarn，以及Anthropic外部服務等。

研究人員發現，Anthropic外部服務包含的api.anthropic.com，可允許攻擊者在攻擊其他用戶時，還能連結自己的Anthropic帳號。例如他可以利用聊天的chat API把受害用戶的對話訊息或其他資料回送給自己。配合Files API，他就將整個檔案上傳到Claude，再以API呼叫把檔案從Anthropic Console抓下來。根據Anthropic 文件，以Claude App透過Files API上傳檔案的限制為每單一檔案最大30MB，共可傳最多20個檔案。

Rehberger設計了間接提示注入攻擊。該手法結合網路存取連結API，及Anthropic Claude另一個新增的記憶功能，記憶功能允許Claude參照和搜尋用戶所有交談紀錄。攻擊過程為，首先下提示讓Claude擷取用戶對話紀錄，將之存在Code Interpreter的沙箱內檔案中，接著再下提示使Claude執行程式和Anthropic API互動將檔案送出去，其中，攻擊者提供API金鑰，就能使Claude將檔案送給攻擊者的帳號。

他還發現了繞過Claude安全機制的方法。為防提示注入攻擊，Claude拒絕執行包含程式的提示。但是若在惡意指令包含無害程式碼，例如列印指令（Hello, world），就能跳過Claude的防線而誘使其執行。

Rehberger稍早通知Anthropic這項漏洞，這家廠商一度認為只是Claude模型安全問題，而非安全漏洞而不打算修補，但在10月30日，Anthropic改口證實為漏洞，正趕製修補程式。在完成修補之前，Anthropic建議用戶使用Claude時要留意它是否有存取用戶資訊，若發現有此情形應立即停止使用。