微新创想:以色列安全公司 LayerX 近日披露了一个针对 Claude Desktop Extensions(现更名为 MCP Bundles)的严重漏洞。研究人员发现该漏洞具有极高的风险,攻击者可以利用它实现“零点击”远程代码执行,其潜在危害在 CVSS 评分中达到了最高的 10/10 分。
漏洞的核心在于 Claude 会自动处理来自外部连接器如 Google 日历的输入信息。攻击者只需发送一份包含恶意指令的 Google 日历邀请,当用户让 Claude 处理日程时,AI 模型可能会自主决定调用具有命令执行权限的插件来执行这些隐藏指令。
由于 Claude 在处理此类工作流时缺乏硬核防护,恶意代码可以在无需用户确认的情况下被下载、编译并运行。这一特性使得攻击者能够利用看似无害的日历邀请,绕过常规的安全机制,直接在用户的系统上执行有害操作。
针对这一发现,Anthropic 公司表示目前不打算修复此问题。公司回应称,MCP 插件被设计为本地开发工具,其安全边界由用户的配置和权限决定,用户应对自己选择安装并授权的本地服务器负责。
安全专家则反驳称,尽管 Claude 宣称插件在沙箱中运行,但目前的权限控制逻辑在面对复杂的间接提示注入攻击时,显然未能提供预期的保护。这表明现有的安全措施存在明显漏洞,可能对用户造成严重威胁。
高危漏洞预警: Claude 插件系统被曝存在 10 分级安全漏洞,恶意软件可通过 Google 日历项实现零点击远程执行。
攻击链路: 利用 AI 自动读取日历的特性,攻击者可将恶意代码伪装成日程任务,诱导 AI 调用高权限工具执行攻击。
官方回应: Anthropic 认为这超出了其当前的威胁模型,强调安全责任应由自主安装插件并授权的用户承担。