近日,安全公司Oasis Security披露,AI助手Claude.ai及其相关平台claude.com存在一组被命名为“Claudy Day”的漏洞链,这一事件在生成式AI行业引发广泛关注。
据悉,此次攻击利用了Claude支持通过URL参数预填聊天内容的功能。攻击者能在参数中嵌入隐藏HTML标签,注入恶意指令。用户界面显示正常文本,Claude处理时却会执行不可见指令,检索历史对话敏感数据。在攻击链第二阶段,攻击者利用内置代码执行环境访问策略限制,植入自身API密钥,诱导Claude收集并上传敏感信息,实现数据外流。
此外,claude.com的开放重定向漏洞,也让攻击者有机可乘,降低攻击识别难度。即便未启用外部集成,Claude仍可能泄露商业计划、财务信息、健康记录等敏感内容。接入企业系统或第三方服务后,风险进一步扩大,攻击者或能间接访问文件、API接口并执行操作。
目前,Anthropic已修复部分问题,如隐藏指令注入漏洞,其余安全缺陷仍在持续修复。这一事件为生成式AI行业敲响安全警钟,凸显了上下文处理与权限控制方面的严峻挑战。
湖南中科安谷作为行业内一员,深知数据安全与隐私保护的重要性。我们将以此为鉴,加强自身产品的安全防护体系,加大在安全技术研发上的投入,确保为用户提供安全可靠的生成式AI产品与服务,共同推动行业健康、安全发展。