Napadači mogu iskoristiti indirektne prompt injekcije da zavaraju Anthropic-jev Claude i natjeraju model da eksfiltrira podatke kojima korisnik ima pristup, otkriva istraživač bezbjednosti.
Napad, objašnjava Johann Rehberger iz Embrace The Red, zloupotrebljava Claude-ove Files API, i moguć je samo ako model ima mrežni pristup (funkcija koja je podrazumevano omogućena na određenim planovima i namijenjena da Claude-u omogući pristup određenim resursima, poput repozitorijuma koda i Anthropic API-ja).
Napad je relativno jednostavan: indirektni prompt injekcioni payload može pročitati korisničke podatke i spremiti ih u sadržaj unutar sandbox okruženja Claude Code Interpreter-a, a zatim prevariti model da komunicira sa Anthropic API-jem koristeći ključ koji je dao hakeri.
Kod u payloadu traži od Claude-a da otpremi sadržaj Code Interpreter-a iz sandboxa, ali pošto se koristi API ključ hakera, sadržaj se otprema na nalog napadača.
„Pomoću ove tehnike protivnik može eksfiltrirati do 30 MB odjednom prema dokumentaciji Files API-ja, i naravno možemo otpremiti više sadržaja“, objašnjava Rehberger.
Nakon što je prvi pokušaj bio uspješan, Claude je odbio payload, posebno zato što je API ključ bio u prostom tekstu, i Rehberger je morao pomiješati benigni kod u prompt injekciju da uvjeri Claude da nema maliciozne namjere.
Napad počinje kada korisnik učita maliciozni dokument koji je poslao haker u Claude radi analize. Eksploit kod preuzme kontrolu nad modelom, koji slijedi maliciozne instrukcije da prikupi korisničke podatke, spremi ih u sandbox, a zatim pozove Anthropic Files API kako bi poslao sadržaj na nalog napadača.
Prema istraživaču, napad se može iskoristiti za eksfiltraciju korisničkih chat razgovora, koji se čuvaju u Claude-u koristeći novouvedenu funkciju „memories“. Napadač može pregledati i pristupiti eksfiltriranom sadržaju u svom konzolnom interfejsu.
Istraživač je prijavio napad Anthropic-u putem HackerOne-a 25. oktobra, ali je izvještaj zatvoren s objašnjenjem da je u pitanju problem bezbjednosti modela, a ne bezbjednosna ranjivost.
Međutim, nakon što je objavio informacije o napadu, Rehberger je obaviješten od strane Anthropic-a da je ranjivost za eksfiltraciju podataka predmet prijave.
Anthropic-ova dokumentacija naglašava rizike povezane sa tim da Claude ima mrežni pristup i potencijalne napade izvedene preko eksternih sadržaja ili web-stranica koji vode do izvršavanja koda i curenja informacija. Dokumentacija takođe daje preporučene mitigacije protiv takvih napada.
Izvor: SecurityWeek
