Головна Штучний інтелект

Claude: як уразливість Code Interpreter загрожує витоком корпоративних даних

5 хвилин читання

Великі мовні моделі (LLMs) стали невід'ємною частиною корпоративного середовища, прискорюючи процеси та підвищуючи ефективність. Однак їхнє стрімке впровадження відкрило новий, критичний вектор загроз у сфері кібербезпеки. Видання TechRadar опублікувало матеріал про вразливість в одному з найпопулярніших ШІ-інструментів – Claude від компанії Anthropic. Ця лазівка дозволяє зловмисникам здійснювати ексфільтрацію (викрадення) приватної корпоративної інформації. Ми підготували виклад найважливішого: як саме працює ця атака і які кроки необхідно зробити, щоб захистити свої дані.

Claude: як уразливість Code Interpreter загрожує витоком корпоративних даних. Image: newsbytesapp.com

Анатомія загрози: Code Interpreter та мережеві запити

Ключовим елементом, що уможливив витік даних, є функціонал Code Interpreter – інструмент, який надає моделі Claude можливість виконувати код у ізольованому середовищі (sandbox). Складність виникла після того, як Code Interpreter отримав здатність здійснювати мережеві запити. Теоретично, це дозволяє ШІ підключатися до інтернету для завантаження програмних пакетів та взаємодії з дозволеними доменами, такими як GitHub або PyPI.

Читайте також: Компанія Anthropic тимчасово зупинила роботу своїх нових моделей штучного інтелекту Claude Fable 5 та Mythos 5 після вимог американської влади, яка висловила занепокоєння щодо їхніх можливостей у сфері кібербезпеки.

Проте, серед схвалених доменів, до яких Code Interpreter мав доступ, виявився і внутрішній API самої Anthropic – api.anthropic.com. Саме цей технічний прорахунок став «відкритими дверима» для хакерів, оскільки дозволяє скомпрометованій моделі зв'язуватися з власним сервером.

Prompt Injection: як модель змушують "Зрадити"

Підписуйтеся на наші соцмережі

Вразливість експлуатується за допомогою методу Prompt Injection – маніпуляції з вхідними промптами (запитами), які обходять внутрішні захисні механізми ШІ. Дослідник (Wunderwuzzi) продемонстрував, що для успішної атаки достатньо лише «добрих слів» – хитро сформульованого запиту, який змушує Claude відхилитися від своїх інструкцій.

Схема атаки виглядає наступним чином:

  • 1
    Проникнення: Зловмисник вводить маніпулятивний промпт.
  • 2
    Читання даних: Claude, обробивши маніпулятивний запит, отримує інструкцію прочитати приватні дані користувача, які зберігаються у його робочому середовищі (sandbox).
  • 3
    Підготовка до витоку: Прочитані конфіденційні дані, що могли бути завантажені користувачем для обробки, зберігаються в пісочниці.
  • 4
    Ексфільтрація: Модель змушують використати Files API Claude та API-ключ, наданий зловмисником, для завантаження приватного вмісту безпосередньо на обліковий запис хакера на платформі Anthropic.

Таким чином, навіть із зовнішнім обмеженням мережевого доступу, атакуючий може маніпулювати моделлю через ін'єкцію промпта, щоб викрасти дані користувача.

Реакція розробника та уроки безпеки

Ця вразливість має прямі наслідки для компаній, які використовують Claude для роботи з чутливою інформацією, оскільки загроза витоку корпоративних секретів є реальною.

Спочатку Anthropic неправильно класифікувала це питання. Однак, після детального розгляду, розробник визнав, що вразливості, пов'язані з ексфільтрацією даних, такі як ця, обов'язково підлягають звітності в рамках програми винагород за знайдені баги (bug bounty). Компанія зазначила, що стався «процедурний збій» і вони працюватимуть над усуненням.

Практичні рекомендації для захисту даних:

  • Моніторинг активності: Anthropic закликає користувачів уважно стежити за активністю Claude під час використання Code Interpreter. Якщо ви помічаєте несподіване використання або доступ до даних, процес слід негайно зупинити.
  • Вимкнення доступу: Користувачам, які стурбовані безпекою, слід розглянути можливість повного відключення мережевого доступу або функції Code Interpreter.
  • Ізоляція API: Дослідник, який знайшов проблему, пропонує Anthropic обмежити мережеві комунікації Claude виключно обліковим записом самого користувача. Це має стати стандартом безпеки для запобігання перенаправленню даних третім сторонам.

Системний ризик: Claude не самотній

Проблема в Claude є частиною ширшої системної загрози у світі великих мовних моделей. Інші LLMs також стикаються з критичними вразливостями. Були випадки, коли: 

ChatGPT постраждав від уразливості «zero-click, server-side», що дозволяла зловмисникам отримувати конфіденційні дані. Працівники ненавмисно вставляли корпоративні секрети у запити до ChatGPT, спричиняючи витік даних.

Ці інциденти підтверджують, що будь-який інструмент ШІ, інтегрований у корпоративний робочий процес, повинен розглядатися як потенційний фактор ризику. Компаніям необхідно переходити до стратегії «Нульової довіри» (Zero Trust) щодо своїх ШІ-помічників, інтегруючи їх із суворими протоколами безпеки та постійним тестуванням на нові види атак, зокрема на Prompt Injection.

Цей матеріал підготовлений на основі інформації з відкритих джерел. Редакція самостійно відбирає ключові факти, аналізує їх та структурує за допомогою AI-інструментів.

Інші матеріали

штучний інтелект ШІ Кібербезпека Anthropic витік даних Claude безпека ШІ prompt injection Code Interpreter корпоративні дані Редакція
Читати на speka.media