Нашли дыру в защите Claude: как заставить ИИ слить личные данные через ссылки
Инструмент web_fetch в Claude спроектирован так, чтобы предотвращать утечку данных: он может переходить только по URL, введённым пользователем или полученным от web_search. Однако Ayush Paul нашёл обходной путь — web_fetch также разрешал переход по ссылкам, встроенным в ранее загруженные страницы.
Атакующий создаёт сайт-приманку, который убеждает агента пройти по серии вложенных ссылок, чтобы «аутентифицироваться». В результате Claude переходит по сгенерированным URL, вставляя в них личные данные пользователя — имя, город и название компании. Атака сработала, и данные были извлечены.
Anthropic не выплатила вознаграждение за находку, заявив, что уже обнаружила проблему внутренне. Уязвимость устранена: теперь web_fetch не может переходить по ссылкам, найденным в собственном контенте.