Oasis Security研究人員詳細描述了 Claude AI 中的「Claudy Day」缺陷，這些缺陷可能利用虛假的 Google 廣告、隱藏的提示和內建功能來竊取資料，駭客可以利用這種攻擊繞過熱門人工智慧助手Claude AI的安全系統。

連結中的隱藏訊息

攻擊的第一步涉及我們發動新聊天的方式。據了解，Claude允許用戶點擊一個鏈接，該鏈接會自動在聊天框中填充問候語。然而，研究人員指出，他們可以利用 HTML 標籤（用於建立網站的基本程式碼）在這些連結中隱藏秘密指令。

當使用者點擊這些經過操控的連結時，他們可能只會在文字方塊中看到「摘要」之類的簡單字詞。但實際上，人工智慧會讀取隱藏在程式碼中的、使用者看不到的指令，這種技術稱為提示注入。

它本質上是誘騙人工智慧執行駭客的指令，而不是使用者的指令。駭客的指示可以是任何東西，例如指示人工智慧掃描舊聊天記錄，尋找有關用戶健康或財務狀況的敏感資訊。研究人員表示，這使得攻擊者能夠「在預先填寫好的聊天連結中嵌入隱藏指令，使用者看不到這些指令，但人工智慧卻能完全執行」。

值得信賴的搜尋結果？

你可能想知道攻擊者是如何誘使用戶點擊可疑連結的。根據 Oasis Security 的技術報告，駭客無需發送可疑郵件，他們利用網站漏洞claude.com創建了看起來完全官方的Google 搜尋廣告。

我們通常信任谷歌搜索結果的前幾位；攻擊者利用開放重定向漏洞，創建了技術上以可信的 Claude 網站地址開頭的鏈接，從而使谷歌批准了這些廣告。這形成了一個陷阱，沒有釣魚郵件，沒有可疑鏈接，只有看似正常的搜索結果，從而可以精準地投放給目標受害者。由於該網址屬於一家信譽良好的公司，受害者不會產生任何懷疑。

靜謐逃逸

最後一個關鍵問題是資料如何離開系統，這個過程被稱為資料外洩。儘管 Claude 擁有數位沙箱，但研究人員還是在系統的官方測試版功能—Anthropic Files API 中發現了一個漏洞，他們可以利用這個漏洞強制人工智慧將竊取的摘要上傳到攻擊者控制的帳戶。該系統允許移動大量數據，每個文件最多 500 MB，每個組織最多 100 GB，研究人員指出，這創建了一個「完整的攻擊管道，從有針對性的受害者交付到靜默數據竊取」。

專家評論：

Black Duck 的高級研發經理Andrew Bolster在接受 Hackread.com 採訪時分享了他對此事的看法，他指出，這些發現支持了這樣一種觀點：雖然像 Claude 這樣的助手是一種福音，但他們也代表了一種被稱為「致命三重奏」的風險。

Bolster表示：「這就是智能體容易接觸到不可信內容（在本例中為URL參數注入）、存取私有數據以及對外通信能力的地方。」他補充說，安全負責人必須防止人工智能助手「透過社會工程手段洩露敏感或受保護的信息或存取權限」。

Qualys 工程副總裁Saumitra Das也向 Hackread.com發表了獨家評論：「Claudy Day 攻擊鏈凸顯了一個新的現實：提示符本身現在就是一個攻擊面。」

他指出，由於這次攻擊使用了合法的端點和重定向，因此看起來像是正常的流量。 「人工智慧代理需要像特權服務帳戶一樣對待，對其存取權限、使用工具以及資料傳輸路徑進行嚴格控制。」Saumitra Das總結道，並警告用戶目前為了避免干擾人工智慧，正在「危險地跳過權限檢查」。

資料來源：https://hackread.com/claudy-day-flaws-data-theft-fake-claude-ai-ads/