AI会主动把你的隐私“拼”进网址泄密
安全研究员Ayush Paul发现,Claude的web_fetch工具存在一个设计漏洞:常规聊天时,AI手里同时拽着三样东西——私有记忆、在线内容访问权限、主动访问URL的能力。这构成了“致命三重奏”攻击条件。
Anthropic最初的防护思路是:web_fetch只能访问用户自己输入的网址,或者内置搜索工具返回的结果。如果攻击者让AI“把最近回答拼到恶意URL后面再访问”,规则会直接阻止,看起来很安全。
但漏洞实际上在另一处:web_fetch也被允许访问它之前抓取的页面里嵌入的链接。攻击者可以搭一个蜜罐网站,通过一系列嵌套生成的链接,诱导AI按顺序走。比如网站伪装成Cloudflare认证系统,要求AI按字母顺序浏览用户资料页面来“验证身份”——每个字母对应一个链接。而且攻击只在User-Agent包含"Claude-User"的客户端展示,降低被发现的概率。
测试中,攻击成功提取了用户的姓名、所在城市和雇主。这些信息是Claude的记忆功能保存的——它记住了用户过往对话中的私有数据。
Anthropic事后没支付漏洞奖金,理由是已内部识别并归档了这个漏洞。修复方法挺简单:移除web_fetch访问自身获取内容中链接的能力。目前不清楚这个漏洞有没有被其他人利用过,也不清楚其他AI助手是不是也有类似的设计缺陷。
Claude的记忆功能默认开没开、用户能不能关——Anthropic没明确说过。但这次事件说明,就算有防护规则,攻击者还是能利用AI对权威认证的信任来绕过。