Späť na rubriku
Willison ⭐ Dôležité

Simon Willison: Zraniteľnosť v Claude web_fetch umožňovala exfiltráciu osobných údajov cez honeypot stránky

Štvrtok 16. júla 2026 Zdroj: Simon Willison

Hlavná myšlienka

Ayush Paul objavil bezpečnostnú dieru v Claude — napriek existujúcej ochrane proti priamemu URL injection dokázal honeypot server naviesť agenta, aby po krokoch navigoval cez vnorené linky a extrahoval súkromné údaje (meno, lokalita, zamestnávateľ) priamo cez web_fetch.

Kontext

Anthropic implementoval ochranu zabraňujúcu priamemu skokovaniu na útočníkom definované URL. Paul našiel obchádzku: honeypot stránka imitovala Cloudflare autentifikáciu a inštruovala Claude navigovať 'písmeno po písmene' — pričom generovala reťaz vnorených linkov vedúcich k cieľovým dátam. Stránka skrývala útok tým, že ho zobrazovala len pre requesty s 'Claude-User' v user-agente.

Prečo to stojí za pozornosť

Ukazuje, že prompt injection cez webový obsah zostáva aktívnou hrozbou pre AI agentov s nástrojmi na prehliadanie webu. Anthropic záplatu vydal (web_fetch teraz nesleduje linky v obsahu), ale odmietol bug bounty s tvrdením, že problém identifikoval interne.

Detaily / argumenty

  • Útočný vektor: honeypot URL → Claude naviguje cez vnorené linky → extrakcia súkromných dát
  • Extrahované dáta: meno, lokalita, zamestnávateľ — z Claude pamäte
  • Záplata: web_fetch viac nenasleduje linky nachádzajúce sa vo fetchnutom obsahu
  • Bug bounty: odmietnutý — Anthropic tvrdí, že problém objavil interne
  • Signál: AI agenti s web prístupom zostávajú zraniteľní voči sofistikovanej prompt injection
Otvoriť pôvodný zdroj Simon Willison