Ексфільтрація пам'яті Claude через обхід ізоляції інструменту веб-браузингу
Дослідник з безпеки продемонстрував вектор витоку даних із системи довгострокової пам'яті Claude.ai. Використовуючи особливості доступу інструменту web_fetch, зловмисник може змусити асистента передати дані користувача через послідовні переходи за посиланнями.
Вплив: Середній
Чому це важливо
Звертайте увагу на те, які конфіденційні дані Claude зберігає у своїй довгостроковій пам'яті, та періодично перевіряйте й очищуйте свій профайл.
TL;DR
- 01Дані щоденного профілю пам'яті Claude можна викрасти через динамічні списки посилань.
- 02Дозвіл web_fetch переходити за посиланнями всередині сторінок дозволяє обійти ізоляцію.
- 03Наполегливо рекомендується не зберігати паролі, секретні питання та конфіденційні дані в пам'яті асистента.
Ключові факти
- Цільова платформа
- claude.ai (веб-асистент)
- Вразливий інструмент
- web_fetch
- Вектор атаки
- Рекурсивний перехід за гіперпосиланнями
Механізм роботи вразливості
Вбудований інструмент web_fetch у Claude.ai обмежує вихідні з'єднання за трьома критеріями: 1. URL вказано безпосередньо у повідомленні користувача. 2. URL міститься в результатах видачі інструменту web_search. 3. URL є гіперпосиланням на раніше завантаженій веб-сторінці.
Експлуатуючи третє правило, зловмисник може розгорнути сайт, який працює як «алфавітна клавіатура». Домашня сторінка веде на /a, /b, /c тощо, а сторінка /a своєю чергою посилається на /aa, /ab та інші динамічно згенеровані підкаталоги.
Вектор ін'єкції промптів
Використовуючи легенду (наприклад, фейковий екран «Cloudflare Bot Protection», який просить ШІ-агента підтвердити особу власника), зловмисник змушує Claude переходити за посиланнями, щоб по літерах скласти ім'я користувача. Поки Claude виконує запити до відповідних адрес (наприклад, evil.com/a/y/u/s/h), веб-сервер фіксує шлях запиту, викрадаючи дані з пісочниці.
Заходи безпеки для користувачів
Оскільки цей метод покладається на автоматичний веб-серфінг та синхронізацію пам'яті:
- Аудит пам'яті: Періодично перевіряйте та видаляйте застарілі або занадто конфіденційні записи (особисті дані, паролі, комерційні таємниці) на сторінці налаштування пам'яті
claude.ai. - Обмеження браузингу: Не просіть Claude завантажувати невідомі сайти або аналізувати сумнівні посилання у сесіях, які містять особисті чи робочі дані.
Що зробити сьогодні
- Перейдіть у налаштування Claude.ai та перевірте збережені записи у профайлі пам'яті.
- Видаліть будь-які конфіденційні особисті чи робочі факти з панелі керування пам'яттю.
Джерела