Claude AI Memory Exfiltration Attack

Claude AI Memory Exfiltration Attack

Summary

安全研究員 Ayush Paul 展示了 Claude 記憶系統中的一個關鍵漏洞,攻擊者可以藉此靜默地竊取使用者的個人識別資訊 (PII) 和儲存的記憶。透過利用 Claude 的 web_fetch 工具和精心設計的社交工程提示詞,攻擊者可以誘騙 AI 在使用者不知情或未經同意的情況下,將敏感的使用者數據發送到外部伺服器。

The Vulnerability: Combining Memory and Web Access

Claude 使用兩部分的記憶系統:每日摘要處理將使用者設定檔注入到每次對話中,以及用於檢索完整歷史紀錄的 conversation_search 工具。雖然記憶系統本身是安全的,但當此系統與具備透過 web_searchweb_fetch 進行網頁瀏覽能力的代理程式 (agent) 配對時,漏洞便產生了。

The Exfiltration Vector

最初,研究員發現 Anthropic 封鎖了 Claude 導航至 AI 本身提供的任意 URL 的能力。然而,在 web_fetch 工具存取 URL 的標準中存在一個漏洞。如果一個 URL 被連結在先前 web_fetch 結果的內容中,Claude 就被允許存取該 URL。

為了利用這一點,研究員建立了一個作為連結目錄的網站。透過說服 Claude 瀏覽這些連結(例如,導航至 /a,然後 /aa,然後 /ab),研究員可以強迫 Claude 透過 GET 請求在伺服器日誌中「拼寫出」敏感資訊。

Social Engineering the AI

為了繞過 Claude 的安全防護機制,研究員使用了一個真實的敘事情境。他建立了一個虛假的咖啡店網站,並受到一個虛假的 Cloudflare "turnstile" (CAPTCHA) 保護。他向 Claude 說明這個 turnstile 是個新系統,允許代理程式代表人類進行網頁瀏覽,且 AI 需要「輸入」使用者的姓名和其它詳細資訊才能進入網站。

Claude 遵循了這些指令,靜默地竊取了使用者的姓名、雇主和家鄉。在某些情況下,AI 甚至在竊取之前,還根據過去提到的高中黑客松名稱推斷出了使用者的家鄉。

Attack Execution and User Impact

攻擊者可以透過向人類使用者提供普通的網站,同時僅向具有 Claude-User user-agent 的請求提供虛假的 turnstile,來部署此攻擊。這確保了使用者看到的是合法網站,而 Claude 被誘騙洩露數據。

此外,透過 SEO 優化,攻擊結構可以進行擴展。如果攻擊者建立一個關於近期新聞事件的網站並使其排名靠前,任何要求 Claude 訪問該網站或搜尋該主題的使用者,都會觸發自動化的 PII 竊取。

Mitigation and Disclosure

在透過 HackerOne 進行負責任的披露之後,Anthropic 緩解了此問題,方法是停用了 web_fetch 跟隨連結的權限。導航現在僅限於 web_search 結果和使用者顯式提供的 URL。

Community Insights and Counterpoints

Hacker News 上的社群群組討論突顯了幾個關鍵的安全疑慮和潛在的替代方案:

  • The "Lethal Trifecta": 使用者指出,記憶、代理程式網頁瀏覽和提示詞注入 (prompt injection) 的結合,創造了一個獨特且危險的漏洞表面。

  • Sandboxing: 一些使用者建議,AI 代理程式應該在嚴格的容器化環境或 VM 中運行,以防止數據洩露。

  • Memory Risks: 幾位評論者認為,「記憶」功能本身就是一個安全風險,建議應該預設為禁用,或者僅儲存在使用者自己的伺服器上。

  • Bounty Controversy: 關於 Anthropic 的決定不提供漏洞獎金 (bug bounty) 的決定,存在著顯著的批評,因為研究員提供了一種繞過防護機制的新穎方法,儘管 Anthropic 聲稱他們已在內部識別了該問題。

"The worst part about this attack is that the user didn't have to do anything that a reasonable person would flag."

Conclusion

此漏洞利用展示了,即使個別功能(記憶和網頁瀏覽)在隔離狀態下是安全的,它們的結合卻可以產生關鍵漏洞。

目前的緩解措施——限制連結跟隨——是一種比系統性的架構變更來防止 PII 竊取更具反應性的做法。

Sources