Claude не само пише код, но и честно предоставя данните на собственика в чужди акаунти
Как една законна функционалност на Code Interpreter се трансформира в троянски кон за кражба на данни.
Вградената функционалност Code Interpreter на Claude за осъществяване на мрежови поръчки се оказа канал за допустимо приключване на данни – създателят на експлойта в детайли разказва по какъв начин комбинацията от достъп до файловия API на Anthropic и осъществяване на код в пясъчника разрешава изпращането на непознати файлове в сметките на нападателите. Проблемът е рисков, тъй като експлойтът употребява формалните интерфейси на платформата и се задейства от конфигурацията по дифолт, която мнозина считат за безвредна.
Същността на офанзивата се състои в това, че при позволен мрежов достъп Code Interpreter може да получи достъп до редица позволени домейни – това е режимът „ единствено за мениджъри на пакети “, в който услуги като npm, PyPI и api.anthropic.com са включени в белия лист. Именно достъпът до api.anthropic.com дава пътя към Files API, интерфейс, който разрешава качването на файлове в акаунт на Anthropic и последващото им добиване посредством подпора или API поръчки.
Атаката се развива по следния метод: злонамерената подсказка кара модела да затвори наличието, до което потребителят има достъп – да вземем за пример последния чат – във файл по път като /mnt/user-data/outputs/hello.md. След това моделът извършва кода, който извиква API за файлове и предава на обкръжението ключа ANTHROPIC_API_KEY. Ако ключът принадлежи на атакуващия, файлът ще бъде изтеглен в акаунта на атакуващия и ще стане наличен в конзолата на атакуващия. Според документите размерът на един файл може да бъде до 30 MB, а поредните изтегляния могат да откраднат огромни количества данни.
Авторът на изследването отбелязва, че в началото експлойтът е работил при първия опит, само че по-късно моделът е почнал да отхвърля явно подозрителните указания, в това число низовете с обществени ключове. Опитите за заобикаляне на филтрите посредством шифроване не всеки път са сработвали; по-надеждно е било зловредната активност да се „ замаскира “ измежду огромен брой безобидни интервенции, като да вземем за пример елементарни команди за въвеждане, което е намалявало подозрителността на осъществяването.
По отношение на процеса на откриване на уязвимостите е имало случай: на 25-ти октомври 2025 година посредством HackerOne е изпратен отчет, само че в началото поръчката е затворена като „ отвън обсега “, като казусът е сметнат за проблем на сигурността на модела, а не за накърнимост на продукта. По-късно, на 30 октомври 2025 година, доставчикът удостовери, че се одобряват сюжети за приключване на данни от подобен темперамент и призна за неточност в процедурата за обработка на отчети за произшествия.
Рисковете на този вектор включват опцията за непряко инжектиране на указания посредством документи или други входни файлове: моделът може да проучва такова наличие като команда, да прочете локалните данни, да ги запише във файл и да ги изпрати посредством фиктивен интерфейс. Подобна логичност може да работи посредством други домейни от белия лист, в случай че те разрешават препращане или опазване на потребителски файлове в сметки на трети страни.
За понижаване на опасността създателят и анализаторите оферират няколко ограничения. От страна на доставчика би трябвало да свържете твърдо мрежовите извиквания от пясъчника с акаунта на влезлия консуматор, тъй че всички изтегляния да се свързват автоматизирано с настоящия акаунт и да не могат да отидат в други сметки. Като опция може да се ограничи или изцяло да се блокира достъпът на осъществим код до файлови API, да се вкара по-строг одит и пречистване в действително време на мрежовите поръчки с опция за автоматизирано прекъсване на сесията при опит за прекачване на данни и да се прегледа описът на позволените домейни за странични резултати. За организациите и потребителите практическата отбрана остава да забранят мрежовия достъп в Code Interpreter, когато това е задоволително, и да употребяват точков позволителен лист единствено за ресурсите, които са в действителност нужни.
Освен за приключване, разказаният канал може да послужи за осъществяване на логичност за командване и ръководство: приемането и осъществяването на отдалечени указания трансформира сходен случай освен в приключване, само че и в проблем за ръководство и възобновяване след компрометиране. Авторът съзнателно не разгласява точния работен пейлоуд и основни образци, с цел да не улесни повторението на офанзивата.
Основният извод остава елементарен: възходящите благоприятни условия на инструментите на изкуствения разсъдък усилват повърхността на офанзивите, а разрешенията за мрежови поръчки би трябвало да бъдат съпроводени от мощни механически отбрани. Доставчиците би трябвало да обмислят сюжети за корист със личните си интерфейси, а организациите би трябвало деликатно да прегледат и поправят настройките за достъп, преди да разрешат на моделите достъп до мрежата.
