米乐官方入口：Claude Cowork存在文件走漏危险：进犯者可借“提示注入”从用户设备盗取文件

yy易游体育官网登录：

  AI 安全研讨团队近来发现 Anthropic 推出的 AI 协作新功用—— 存在严峻安全危险，或许会引起用户文件被进犯者长途提取。

  Claude Cowork 是 Anthropic 针对非技能用户推出的智能工作署理东西，可经过自然语言指令对本地文件夹进行读写、收拾、剖析等操作。这让 AI 不再是简略的谈天机器人，而是可履行使命的数字帮手。

  安全剖析显现，在某些条件下，进犯者能凭借“直接提示注入”（Indirect Prompt Injection）缝隙操控 Claude Cowork 将用户本地文件上传至进犯者操控的后台账户。

  1. 用户授权 Cowork 拜访本地文件夹（如包含灵敏文件的文件夹）。

  3. 当 Cowork 处理这些文件时，嵌入的歹意指令会被触发，指示 Claude 向外发送文件数据。

  4. 运用一个进犯者自带的 API 密钥，Claude 会凭借答应的 Anthropic API 上传这些文件，不需求用户额定承认。

  5. 进犯者随后能够终究靠自己的 Anthropic 账号拜访或剖析这些文件数据。

  这类进犯不需求用户直接履行代码，仅凭上传文件就能完结整个数据盗取进程。安全剖析指出，这种危险源于以下技能原因：

  Claude Cowork 的运转环境答应拜访指定本地文件夹并解析用户更好的供给的文件。

  Claude 地点的虚拟机为 API 拜访设置了“白名单”，其间包含 Anthropic 官方的文件 API。这在某种程度上预示着，经过这一个 API 向 Anthropic 上传文件不会被阻挠。

  歹意提示能够让 Claude 运转嵌入在文件中的恳求，然后绕过惯例安全防护。

  Anthropic 在发布 Cowork 时提示用户，这项功用仍处于“研讨预览”阶段，并存在不知道危险，需求慎重运用。特别主张不要授权拜访包含灵敏信息的文件。不过安全研讨者指出，将防护职责彻底交给用户并不实际，特别是面临躲藏得很深的提示注入进犯。

  特别声明：以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布，本渠道仅供给信息存储服务。

  公然，挣钱的止境是直播！张水华带夫开播，70万人围观干洗店谈天，拒带货反成顶流

  男人无偿献血2.2万毫升，持优待卡到指定景区旅行被奉告不免票，当事人申述要求交还50元门票

  2005年古月古怪倒在桑拿房，李讷曾抱着他痛哭喊爸，叶帅那个红圈，竟画出了他27年“借来的人生”

  本年没有大年三十，何时贴春联最好？这4件事要早知道，别不妥回事，图个吉祥！

  最高立省1000元，Apple新春限时优惠1月24日敞开，掩盖iPhone16、iPad等