记忆功能本该让 AI 更懂你,结果却成了隐私的漏斗——安全研究员阿尤什·保罗披露,Claude 的长期记忆机制能被攻击者诱导,在用户毫无察觉的情况下把姓名、公司和籍贯等信息悄悄传出去。而更让人窝火的是,Anthropic 在收到漏洞报告之前就已经知道这个隐患,但迟迟没修,连赏金都没给。
Claude 的“双面记忆”
保罗在 7 月 9 日的技术博文中详细拆解了这套攻击面。Claude 的记忆分为两部分:每日摘要会将近期对话压缩成数段内容,自动注入后续对话;conversation_search 工具则能按需调取完整历史记录。这本来是为了让回答贴合用户背景,但长期使用下来,AI 积累的画像越来越精细——姓名、工作单位、籍贯、工作烦恼,甚至能用于银行身份核验的原籍城市,都可能被收入记忆池。
![]()
不经许可就能外传
测试中,保罗没有给任何额外提示,Claude 就依次交出了“Name: Ayush Paul”“Company: Beem”“Hometown: Charlotte, NC”。更具迷惑性的是,当攻击者把恶意链接和真实咖啡店链接混在一起让 Claude 做比较时,AI 会在未征求用户同意的情况下,按字符把姓名编码进 URL 参数。再稍加诱导,当前工作单位和关乎身份校验的籍贯信息也会一同外流,整个过程对用户完全透明。
已知未修,赏金落空
保罗通过 Anthropic 的 HackerOne 漏洞赏金项目提交了这一发现。可令人唏嘘的是,Anthropic 当时已在内部知晓该问题,但在报告提交时仍未修复,保罗也因此没能拿到赏金。直到事件曝光后,Anthropic 才关闭了 web_fetch 跟随外部页面内链接的能力,堵上这条外传通道。一个涉及个人画像泄露的内存型攻击,内部早就知道却迟迟不补,外部的安全研究者辛苦报上来连应有的奖励都拿不到,这种处理态度实在说不过去。
这起事件再次给长期记忆类 AI 敲了警钟:把用户的个人数据嵌进对话历史里是双刃剑,用得巧能提升体验,防不住就成了批量泄露的捷径。厂商如果只在曝光后才匆匆打补丁,那所谓的赏金计划也只是一纸空文。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.