探索2025年顶级加密货币赌场,支持USDT、比特币等数字资产投注。精选去中心化赌场,提供安全、公平、匿名的博彩体验。立即查看USDT博彩网站推荐,畅玩百家乐、体育竞猜、老虎机等热门游戏,体验区块链博彩的无限可能!AI 安全研究团队近日发现 Anthropic 推出的 AI 协作新功能—— 存在严重安全风险,可能导致用户文件被攻击者远程提取。
Claude Cowork 是 Anthropic 针对非技术用户推出的智能办公代理工具,可通过自然语言指令对本地文件夹进行读写、整理、分析等操作。这让 AI 不再是简单的聊天机器人,而是可执行任务的数字助手。
安全分析显示,在某些条件下,攻击者能借助“间接提示注入”(Indirect Prompt Injection)漏洞操控 Claude Cowork 将用户本地文件上传至攻击者控制的后台账户。
1. 用户授权 Cowork 访问本地文件夹(如包含敏感文件的文件夹)。
3. 当 Cowork 处理这些文件时,嵌入的恶意指令会被触发,指示 Claude 向外发送文件数据。
4. 利用一个攻击者自带的 API 密钥,Claude 会借助允许的 Anthropic API 上传这些文件,不需要用户额外确认。
5. 攻击者随后可以通过自己的 Anthropic 账号访问或分析这些文件数据。
这类攻击不需要用户直接执行代码,仅凭上传文件就能完成整个数据窃取过程。安全分析指出,这种风险源于以下技术原因:
Claude Cowork 的运行环境允许访问指定本地文件夹并解析用户提供的文件。
Claude 所在的虚拟机为 API 访问设置了“白名单”,其中包含 Anthropic 官方的文件 API。这意味着,通过这个 API 向 Anthropic 上传文件不会被阻止。
恶意提示可以让 Claude 运行嵌入在文件中的请求,从而绕过常规安全防护。
Anthropic 在发布 Cowork 时提醒用户,这项功能仍处于“研究预览”阶段,并存在未知风险,需要谨慎使用。尤其建议不要授权访问包含敏感信息的文件。不过安全研究者指出,将防护责任完全交给用户并不现实,特别是面对隐藏得很深的提示注入攻击。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
猪飞上天!无人机吊运年猪,第一头就挂在电线上,多次救援均未成功,全村停电10个小时
1550亿美元身家的黄仁勋现身上海一菜场,商户:他在我的栗子店消费65元,还给我签名红包
0比4不敌日本队,U23国足球员道歉!主教练鸣不平!球迷鼓励:已经很棒了
2025年新生儿仅有792万,一个重要原因是育儿的廉价劳动力已经不足了
0比4不敌日本队,U23国足球员道歉!主教练鸣不平!球迷鼓励:已经很棒了
美国联邦执法人员再次开枪打死一居民后,NBA因安全原因推迟森林狼对勇士比赛
华为FreeClip 2耳夹耳机确认支持Android设备豆包App唤醒
戴尔推出SE2726D显示器:27英寸2K 144Hz护眼屏,售899元
当代唯一能称为“大师”的人,他的字普通人看不懂,启功跟他比,就像小学生!
Copyright © 2002-2025 Casino USDT 版权所有 非商用版本