Claude Cowork发布数天后遭文件窃取提示注入攻击

Anthropic新AI系统Claude Cowork发布数天后，安全研究人员PromptArmor记录了一个关键漏洞。该漏洞允许攻击者通过隐藏提示注入窃取用户机密文件，无需人工授权。攻击链始于用户将Cowork连接到包含机密数据的本地文件夹，攻击者随后将带有隐藏提示注入的文件放入该文件夹。攻击技术特别隐蔽：攻击者可将注入隐藏在.docx文件中，伪装成无害的“技能”文档，这是Anthropic为代理AI系统引入的新提示方法。恶意文本使用1点字体、白色背景和0.1行间距，对人眼几乎不可见。当用户要求Cowork使用上传的“技能”分析文件时，注入接管控制，指示Claude运行curl命令，使用攻击者的API密钥将最大可用文件发送到Anthropic的文件上传API。文件最终落入攻击者的Anthropic账户，攻击者可随意访问。PromptArmor首先在Claude Haiku上演示了攻击，但即使是最强大的Claude Opus 4.5模型也未能幸免。漏洞源于Claude代码执行环境中的隔离缺陷，该问题在Cowork存在前已被发现。安全研究员Johann Rehberger先前在Claude.ai聊天中识别并披露了此问题，Anthropic承认但据称未修复。技能文件已在网上分享，用户应从可信来源下载。