Anthropic忽视提示注入漏洞，Cowork产品再现文件泄露风险|文件泄露|服务器|深度思考按钮|虚拟机

Anthropic公司对提示注入风险的轻视态度在其新推出的Cowork生产力AI产品中再次显现。该产品存在文件API泄露攻击链漏洞，这一问题早在去年10月就被披露，Anthropic虽然承认但未修复。

漏洞详情及攻击方式

专门发现AI漏洞的安全公司PromptArmor周三报告称，Cowork可通过提示注入攻击被欺骗，将敏感文件传输到攻击者的Anthropic账户，一旦获得访问权限就无需额外用户批准。

攻击过程相对简单，正如PromptArmor解释的那样，这是"不断增长"攻击面的一部分。由于Cowork面向非开发者用户，他们可能不会仔细考虑连接到智能体的文件和文件夹，这进一步放大了风险。

周一推出研究预览版的Cowork旨在通过扫描电子表格和其他办公人员日常接触的文档来自动化办公工作。

要触发攻击，潜在受害者只需将Cowork连接到包含敏感信息的本地文件夹，上传包含隐藏提示注入的文档。当Cowork分析这些文件时，注入的提示就会被触发。

PromptArmor的概念验证使用curl命令调用Anthropic的文件上传API，要求将最大可用文件上传到攻击者的API密钥，使攻击者能够通过自己的Anthropic账户获得该文件。PromptArmor用房地产文件演示了这一点，模拟攻击者随后能够通过Claude查询检索文档中提到的个人财务信息和个人身份信息。

重复出现的安全问题

该漏洞遵循了安全研究员Johann Rehberger去年10月向Anthropic报告的关于Claude Code的相同文件API泄露攻击手法。Rehberger当时收到了Anthropic相当冷淡的回应——公司先是关闭了他的错误报告，然后承认可以使用提示注入攻击欺骗其API泄露数据，因此用户应该小心连接到机器人的内容。

我们在10月询问Anthropic是否会考虑实施API检查以确保文件不会通过API传输到不同账户等简单措施，但Anthropic没有回应。

Anthropic对Cowork中出现的问题的回应似乎是类似的"这取决于你，所以要小心"的态度。公司在Cowork公告中指出提示注入攻击是一个问题。

"我们已经建立了对抗提示注入的复杂防御，但智能体安全——即保护Claude现实世界行动的任务——在行业中仍然是一个活跃的发展领域，"Anthropic说。

"这些风险对Cowork来说并不新鲜，但这可能是你第一次使用超越简单对话的更高级工具，"公司继续说道，因为Cowork是一个用户范围比以前工具更广的智能体工具。

为减轻这些风险，Anthropic警告Cowork用户避免将Cowork连接到敏感文档，将其Chrome扩展限制在可信站点，并监控"可能表明提示注入的可疑行为"。

正如开发者和提示注入担忧者Simon Willison在他对Cowork的实践评测中所说，这对不熟悉AI复杂性的人来说是一个很大的要求。

"我认为告诉普通非程序员用户注意'可能表明提示注入的可疑行为'是不公平的，"Willison说。

历史重演的安全态度

这不是Anthropic第一次声称报告的漏洞不会被修补。

今年6月，Trend Micro披露Anthropic用于连接外部数据源的开源参考SQLite MCP服务器实现包含经典SQL注入漏洞。Anthropic表示该问题超出范围，因为包含受影响代码的GitHub存储库已在2025年5月存档，不计划进行修补。

不幸的是，该SQLite MCP服务器在存档前已被复制或分叉超过5000次，意味着易受攻击的代码可能仍在大量下游项目中传播。

Anthropic在6月告诉我们不同意Trend Micro对该问题的分析，并且不会为存档代码提供修复，而是指向MCP规范的指导，即应该有人类监督和批准工具的操作。