Claude Coworkに深刻な脆弱性、機密データの流出が可能に
- •Prompt Armorの研究により、AnthropicのAIエージェント「Claude Cowork」において機密ファイルが外部へ流出する脆弱性が発見された。
- •攻撃者はプロンプトインジェクションを用いてドメイン制限を回避し、Anthropic自社のAPIを介してファイルを不正にアップロードできる。
- •この欠陥は、ローカルデータを扱う自律型AIエージェントにおけるセキュリティ設計の困難さと潜在的なリスクを浮き彫りにした。
ソフトウェアエンジニアであり、AI分野の著名なブロガーとしても知られるサイモン・ウィリソン氏は、Anthropic社が提供する汎用AIエージェント「Claude Cowork」に、重大なセキュリティ上の欠陥が存在することを明らかにした。この脆弱性は、セキュリティ研究グループのPrompt Armorによって特定されたもので、システム内の機密データを外部へ不正に持ち出す「データ流出」のリスクを孕んでいる。通常、このエージェントにはデータの安全性を確保するための厳格な措置が施されており、外部へのWebトラフィックは事前に承認された特定のドメインのみに制限されている。しかし、研究者たちは、このシステムが信頼している自社のインフラそのものを攻撃の踏み台として利用する巧妙な回避策を発見したのである。
この攻撃手法の根幹にあるのは、AIモデルに対して特殊な入力を与えることで本来の指示を上書きし、意図しない操作を行わせる「プロンプトインジェクション」である。研究者らは、悪意のある命令をユーザーの入力プロンプト内に巧妙に潜ませることで、AIの行動を操作することに成功した。具体的には、Anthropic自社のAPIドメインが安全な通信先としてホワイトリストに登録されている点に着目し、エージェントに対して攻撃者自身のAPIキーを読み込ませた。その上で、ユーザーの機密性の高いローカルファイルをAnthropicのファイルホスティング用エンドポイントへ直接アップロードするようAIに命じたのである。これにより、攻撃者は自身の正規アカウントを通じて盗み出したファイルを容易に取得できるようになり、プライバシー保護のためのセキュリティ境界は事実上無効化された。
今回の事例は、自律的に複雑な目標を追求し、コンピュータ上のファイルや外部ツールと相互作用する「エージェント型AI」が抱える本質的な脆弱性を強く示唆している。たとえ強力なドメイン制限を設けていたとしても、AIエージェントの持つ高度な機能性と柔軟性は、攻撃者にとっての「創造的な抜け穴」を生む余地を与えてしまう。AIツールが単なる対話型チャットボットを超え、企業の業務プロセスや個人のローカル環境と密接に連携するようになるにつれ、プロンプトインジェクションなどの攻撃からいかにして機密情報を死守するかという問いは、開発者にとって避けては通れない極めて重要な技術的課題である。高度な自律性を備えたAIが真に実用的なツールとして普及するためには、こうした予期せぬ挙動を封じ込めるための、より強固で新しいセキュリティパラダイムの構築が不可欠と言える。