安全研究员发现 Claude 记忆功能漏洞,能骗它把姓名公司发到外部网站。用 Claude 时小心点,别让它存敏感信息。
安全研究员 Ayush Paul 于 7 月 9 日披露针对 Claude 的攻击方法,利用其每日摘要与 conversation_search 工具的记忆机制诱导模型泄露个人信息。测试中 Claude 在无额外提示下依次提交了姓名(Ayush Paul)、公司(Beem)与家乡(Charlotte, NC)等信息。当恶意 URL 与真实咖啡馆 URL 混合时,Claude 在未征得许可的情况下将姓名编码进链接,进一步诱导可泄露工作单位与原籍城市。Anthropic 已内部知晓该问题但未在报告提交时修复,随后关闭了 web_fetch 跟随外部链接的能力。
IT之家 7 月 17 日消息,安全研究员阿尤什 · 保罗(Ayush Paul)于 7 月 9 日发布博文,披露针对 Claude 的攻击方法, 让用户不知情的情况下将存储的个人信息(例如姓名和工作单位)发送到外部网站。 保罗指出 Claude 具备总结过往对话并在新对话中调用的能力,目前共有 2 部分记忆机制: 一是每日摘要,将近期对话压缩为数段内容,并注入后续会话; 二是 conversation_search 工具,可按需检索完整历史对话。 该机制可让回答结合用户背景,但长期使用也会积累较完整的个人画像,范围可包括姓名、工作单位、籍贯、工作信息与个人困扰等。 保罗在测试中表示无额外提示用户的情况,Claude 依次提交了姓名、公司与家乡信息,日志示例显示外传内容包括“Name: Ayush Paul”“Company: Beem”“Hometown: Charlotte, NC”。 保罗称,当恶意 URL 与真实咖啡馆 URL 混在一起并要求 Claude 比较时,Claude 会在未征求许可的情况下,按字符将姓名编码进链接。进一步诱导后,当前工作单位,甚至可用于银行等机构身份校验的原籍城市,也可能被外传。 保罗通过 Anthropic 的 HackerOne 漏洞赏金项目提交该问题。披露称,Anthropic 当时已在内部知晓该问题,但在报告提交时尚未修复,保罗也未获得赏金。此后,Anthropic 关闭了 web_fetch 跟随外部页面内链接的能力。 IT之家附上参考地址 The Memory Heist