Anthropic忽视提示注入漏洞，Cowork产品再现文件泄露风险

Anthropic公司对提示注入风险的轻视态度在其新推出的Cowork生产力AI产品中再次显现。该产品存在文件API泄露攻击链漏洞，这一问题早在去年10月就被披露，Anthropic虽然承认但未修复。

漏洞详情及攻击方式

专门发现AI漏洞的安全公司PromptArmor周三报告称，Cowork可通过提示注入攻击被欺骗，将敏感文件传输到攻击者的Anthropic账户，一旦获得访问权限就无需额外用户批准。

攻击过程相对简单，正如PromptArmor解释的那样，这是"不断增长"攻击面的一部分。由于Cowork面向非开发者用户，他们可能不会仔细考虑连接到智能体的文件和文件夹，这进一步放大了风险。

周一推出研究预览版的Cowork旨在通过扫描电子表格和其他办公人员日常接触的文档来自动化办公工作。

要触发攻击，潜在受害者只需将Cowork连接到包含敏感信息的本地文件夹，上传包含隐藏提示注入的文档。当Cowork分析这些文件时，注入的提示就会被触发。

PromptArmor的概念验证使用curl命令调用Anthropic的文件上传API，要求将最大可用文件上传到攻击者的API密钥，使攻击者能够通过自己的Anthropic账户获得该文件。PromptArmor用房地产文件演示了这一点，模拟攻击者随后能够通过Claude查询检索文档中提到的个人财务信息和个人身份信息。

重复出现的安全问题

该漏洞遵循了安全研究员Johann Rehberger去年10月向Anthropic报告的关于Claude Code的相同文件API泄露攻击手法。Rehberger当时收到了Anthropic相当冷淡的回应——公司先是关闭了他的错误报告，然后承认可以使用提示注入攻击欺骗其API泄露数据，因此用户应该小心连接到机器人的内容。

我们在10月询问Anthropic是否会考虑实施API检查以确保文件不会通过API传输到不同账户等简单措施，但Anthropic没有回应。

Anthropic对Cowork中出现的问题的回应似乎是类似的"这取决于你，所以要小心"的态度。公司在Cowork公告中指出提示注入攻击是一个问题。

"我们已经建立了对抗提示注入的复杂防御，但智能体安全——即保护Claude现实世界行动的任务——在行业中仍然是一个活跃的发展领域，"Anthropic说。

"这些风险对Cowork来说并不新鲜，但这可能是你第一次使用超越简单对话的更高级工具，"公司继续说道，因为Cowork是一个用户范围比以前工具更广的智能体工具。

为减轻这些风险，Anthropic警告Cowork用户避免将Cowork连接到敏感文档，将其Chrome扩展限制在可信站点，并监控"可能表明提示注入的可疑行为"。

正如开发者和提示注入担忧者Simon Willison在他对Cowork的实践评测中所说，这对不熟悉AI复杂性的人来说是一个很大的要求。

"我认为告诉普通非程序员用户注意'可能表明提示注入的可疑行为'是不公平的，"Willison说。

历史重演的安全态度

这不是Anthropic第一次声称报告的漏洞不会被修补。

今年6月，Trend Micro披露Anthropic用于连接外部数据源的开源参考SQLite MCP服务器实现包含经典SQL注入漏洞。Anthropic表示该问题超出范围，因为包含受影响代码的GitHub存储库已在2025年5月存档，不计划进行修补。

不幸的是，该SQLite MCP服务器在存档前已被复制或分叉超过5000次，意味着易受攻击的代码可能仍在大量下游项目中传播。

Anthropic在6月告诉我们不同意Trend Micro对该问题的分析，并且不会为存档代码提供修复，而是指向MCP规范的指导，即应该有人类监督和批准工具的操作。

"MCP规范建议对这类工具进行人类监督——应该始终有人类参与，能够拒绝工具调用，意味着用户会在执行前审查这些查询，"Anthropic发言人去年夏天告诉我们。

当被问及如何解决现在出现在两个产品中的API提示注入问题时，Anthropic告诉The Register，提示注入是整个行业都在努力解决的问题。

尽管如此，Anthropic发言人声称公司也在努力减少其产品中的提示注入，包括在Cowork中使用虚拟机来最小化平台对敏感文件和目录的访问。Anthropic告诉我们计划今天发布Cowork虚拟机的更新以改善其与易受攻击API的交互，其他安全改进也将陆续推出。

Anthropic还强调Cowork作为研究预览版发布，并邀请用户发送反馈或安全建议。

Q&A

Q1：Cowork存在什么样的安全漏洞？

A：Cowork存在文件API泄露攻击链漏洞，可通过提示注入攻击被欺骗，将用户的敏感文件传输到攻击者的Anthropic账户。攻击者只需让用户连接包含敏感信息的文件夹，并上传包含隐藏提示注入的文档，当Cowork分析文件时就会触发攻击。

Q2：Anthropic对这类安全问题采取了什么措施？

A：Anthropic的态度相对消极，主要将责任推给用户，建议用户避免连接敏感文档、限制Chrome扩展使用范围，并监控可疑行为。公司声称已建立复杂防御，但承认智能体安全仍在发展中，计划通过虚拟机等技术改进来减少风险。

Q3：这种提示注入漏洞是否在其他Anthropic产品中也存在？

A：是的，类似漏洞此前在Claude Code中就被发现并报告，Anthropic当时也未进行修复。此外，公司的SQLite MCP服务器实现也存在SQL注入漏洞，但因代码已存档而拒绝修补，这些易受攻击的代码已被复制超过5000次。