Исследователи в области безопасности раскрыли критический набор уязвимостей, получивших общее название «Claudy Day», которые затрагивают пользователей ИИ-ассистента Claude от компании Anthropic. Эти уязвимости, состоящие из уязвимости инъекции промптов в сочетании с двумя другими проблемами безопасности, создают мощный вектор атаки. Эта цепочка может превратить, казалось бы, безобидное действие — например, когда пользователь просит Claude выполнить веб-поиск — в полномасштабную атаку, способную похитить конфиденциальные данные и потенциально нарушить периметр корпоративных сетей. Это открытие подчеркивает развивающиеся и изощренные угрозы, нацеленные на быстро расширяющуюся экосистему генеративных ИИ-приложений, интегрированных в бизнес-процессы.
Цепочка атаки начинается с фундаментальной уязвимости инъекции промптов в функционале веб-поиска Claude. Злоумышленник может создать вредоносную веб-страницу, которая при получении Claude в ходе поиска, инициированного пользователем, содержит скрытые промпт-инструкции. Эти инструкции «внедряют» команды, которые перехватывают нормальный поток ответов ассистента. Скомпрометированный ИИ-ассистент затем принуждается к выполнению последующих действий, использующих две дополнительные уязвимости: одну, связанную с неправильной санацией входных данных, и другую, касающуюся небезопасной обработки данных на стороне клиентского приложения. Этот многоэтапный процесс позволяет атаке эскалировать от простого веб-запроса до несанкционированного извлечения данных.
Последствия для корпоративной безопасности серьезны. Успешная эксплуатация «Claudy Day» может позволить злоумышленнику похитить сессионные куки, токены аутентификации или другую конфиденциальную информацию из взаимодействия пользователя с Claude. В корпоративной среде, где сотрудники могут использовать ИИ-инструмент для обобщения документов, анализа данных или помощи в программировании, эта похищенная информация может обеспечить плацдарм внутри сети. Риск особенно высок, когда ИИ-ассистентам предоставляется доступ к внутренним системам или хранилищам данных, что потенциально может превратить их в невольную точку опоры для lateral movement и более глубокого проникновения в сеть.
Этот инцидент служит суровым напоминанием об уникальных проблемах безопасности, создаваемых генеративным искусственным интеллектом. Традиционные межсетевые экраны веб-приложений и средства контроля безопасности часто плохо подготовлены для обнаружения или предотвращения атак инъекции промптов, которые манипулируют основными функциями обработки языка ИИ. Смягчение последствий требует многоуровневого подхода: поставщики ИИ должны тщательно аудировать и изолировать возможности использования внешних инструментов, в то время как предприятия должны применять строгие политики в отношении типов данных и систем, доступных ИИ-ассистентам. Пользователям рекомендуется соблюдать осторожность при направлении ИИ на взаимодействие с внешними веб-ресурсами, поскольку данное исследование подтверждает, что даже доверенные ИИ-платформы могут быть превращены в оружие с помощью хитро сконструированного веб-контента.
