Склонность Anthropic отметать риски внедрения промптов вновь дала о себе знать в новом продукте компании для повышения производительности — Cowork. Этот ИИ-помощник уязвим для атаки по утечке данных через Files API, о которой впервые стало известно в октябре прошлого года. Anthropic признала эту уязвимость, но не устранила её.
PromptArmor, фирма по безопасности, специализирующаяся на поиске уязвимостей ИИ, сообщила в среду, что Cowork можно обманом заставить через внедрение промпта передавать конфиденциальные файлы на аккаунт злоумышленника в Anthropic, причём без какого-либо дополнительного одобрения пользователя после предоставления доступа.
Процесс относительно прост и, как объясняет PromptArmor, является частью «постоянно растущей» поверхности атаки. Этот риск усугубляется тем, что Cowork позиционируется для пользователей, не являющихся разработчиками, которые могут не задумываясь подключать к ИИ-агенту различные файлы и папки.
Cowork, запущенный в режиме предварительного просмотра в понедельник, предназначен для автоматизации офисной работы путём сканирования таких файлов, как электронные таблицы и другие повседневные документы, с которыми работают офисные сотрудники.
Чтобы запустить атаку, потенциальной жертве достаточно подключить Cowork к локальной папке с конфиденциальной информацией, загрузить документ, содержащий скрытый внедрённый промпт, и готово — при анализе этих файлов активируется внедрённая инструкция.
В демонстрационном примере PromptArmor использовала команду curl к API загрузки файлов Anthropic с требованием загрузить самый большой доступный файл по ключу API злоумышленника, делая этот файл доступным для атакующего через его собственный аккаунт Anthropic. PromptArmor продемонстрировала это на примере файла по недвижимости, финансовую информацию и персональные данные лиц, упомянутых в документе, из которого симулированный злоумышленник смог затем извлечь данные с помощью Claude.
Эта ошибка повторяет ту же базовую схему утечки данных через Files API, о которой исследователь безопасности Йоханн Реербергер сообщал Anthropic ещё в октябре в отношении Claude Code. Реербергер тогда получил довольно прохладный ответ от Anthropic: сначала компания закрыла его отчёт об ошибке, а затем признала, что атака с внедрением промпта может использоваться для обмана её API с целью утечки данных, посоветовав пользователям просто быть осторожными с тем, что они подключают к боту.
Мы спрашивали в октябре, рассмотрит ли Anthropic что-то столь же простое, как, например, реализация проверки API для гарантии того, что файлы не передаются на другой аккаунт через API, но ответа от Anthropic не последовало.
Ответ Anthropic на проблему, возникшую в Cowork, похоже, аналогичен — «это ваша ответственность, будьте осторожны». Компания отметила в анонсе Cowork, что атаки с внедрением промптов являются проблемой: объявляя о запуске Cowork.
«Мы разработали сложные механизмы защиты от внедрения промптов, но безопасность агентов — то есть обеспечение реальных действий Claude — по-прежнему остаётся активной областью развития в отрасли», — заявила Anthropic.
«Эти риски не новы для Cowork, но, возможно, вы впервые используете более продвинутый инструмент, выходящий за рамки простого диалога», — продолжила компания, поскольку Cowork является агентурным инструментом с гораздо более широким спектром пользователей, чем предыдущие их разработки.
Чтобы снизить эти риски, Anthropic предупреждает пользователей Cowork избегать подключения инструмента к конфиденциальным документам, ограничивать расширение для Chrome доверенными сайтами и следить за «подозрительными действиями, которые могут указывать на внедрение промпта».
Как отметил в своём практическом обзоре Cowork разработчик и сторонник мер против внедрения промптов Саймон Уиллсон, это слишком многого требует от людей, не знакомых с тонкостями ИИ.
«Я не думаю, что справедливо говорить обычным, не-программирующим пользователям остерегаться “подозрительных действий, которые могут указывать на внедрение промпта”», — заявил Уиллсон.
Один раз — случайность, дважды — совпадение…
Это не первый случай, когда Anthropic утверждает, что сообщённый недостаток не будет исправлен.
Ещё в июне 2025 года Trend Micro сообщила, что эталонная реализация открытого исходного кода сервера MCP от Anthropic для подключения к внешним источникам данных содержала классическую уязвимость SQL-инъекции. Anthropic заявила, что проблема выходит за рамки её ответственности, поскольку репозиторий GitHub с уязвимым кодом был заархивирован в мае 2025 года, и исправление не планировалось.
К сожалению, этот сервер SQLite MCP к тому моменту уже был скопирован или форкнут более 5000 раз, а значит, уязвимый код всё ещё мог циркулировать в большом количестве последующих проектов.
В июне Anthropic сообщила нам, что не согласна с анализом Trend Micro, и вместо выпуска исправления для заархивированного кода указала на руководство по спецификации MCP, согласно которому должен быть человек, контролирующий и одобряющий действия инструмента.
«Спецификация MCP рекомендует человеческий надзор для такого рода инструментов — всегда должен быть человек в цикле, имеющий возможность отклонять вызовы инструментов, что означает, что пользователи должны просматривать эти запросы до их выполнения», — сообщил нам представитель Anthropic прошлым летом.
Отчёт PromptArmor может опираться на ту же проблему, о которой сообщал Реербергер в прошлом году, но формулировки касательно внедрения промптов вновь демонстрируют, что Anthropic представляет риск как нечто, что пользователи должны контролировать самостоятельно.
Когда у Anthropic спросили, что она делает для устранения проблемы внедрения промптов в API, которая теперь присутствует в двух продуктах, компания ответила The Register, что внедрение промптов является общеотраслевой проблемой, которую все в сфере ИИ пытаются решить.
Тем не менее, представитель Anthropic заявил, что компания также работает над способами минимизации внедрения промптов в своих продуктах, в том числе с помощью виртуальной машины в Cowork, предназначенной для ограничения доступа платформы к конфиденциальным файлам и каталогам. Anthropic сообщила, что планирует сегодня выпустить обновление для VM Cowork, чтобы улучшить её взаимодействие с уязвимым API, и что другие улучшения безопасности будут предложены позднее.
Anthropic также подчеркнула, что Cowork выпускается как предварительный исследовательский продукт, и пригласила пользователей присылать отзывы или рекомендации по безопасности. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Brandon Vigliarolo
