安全研究公司 LayerX 发现的一处新的严重漏洞,暴露了大语言模型(LLM)在处理信任边界方面的基础架构缺陷。
Claude 桌面扩展(DXT)中存在的零点击远程代码执行(RCE)漏洞,使得攻击者仅需构造一个恶意的 Google 日历事件即可攻陷系统。
该漏洞被 LayerX 评为 CVSS 10.0 分,影响了超过 10,000 名活跃用户和 50 多个 DXT 扩展。它突显了模型上下文协议(MCP)生态系统中一个危险的缺口:AI 代理能够在未经用户同意的情况下,自主地将低风险数据源与高权限执行工具链接起来。
问题的核心在于 Claude 桌面扩展的架构。与现代浏览器扩展(如 Chrome 的 .crx 文件)运行在严格的沙箱环境中不同,Claude 的 MCP 服务器在主机上以完整的系统权限运行。这些扩展并非被动插件,而是 AI 模型与本地操作系统之间的主动桥梁。
根据 LayerX 的说法,这种缺乏沙箱保护的设计意味着,如果一个扩展被诱骗执行命令,它将拥有与用户相同的权限,能够读取任意文件、访问存储的凭证以及修改操作系统设置。
Claude 桌面扩展的零点击 RCE 漏洞
该漏洞利用无需复杂的提示工程或受害者的直接交互来触发有效载荷。攻击载体简单得令人震惊:一个 Google 日历事件。
在被研究人员称为“Ace of Aces”的攻击场景中,攻击者邀请受害者参加一个名为“Task Management”的日历事件(或将其注入到共享日历中)。事件描述中包含克隆恶意 Git 仓库并执行 makefile 的指令。
当用户之后向 Claude 提出一个无害的请求,例如“请查看我 Google 日历中的最新事件并为我处理一下”时,模型会自主地将“处理一下”的指令解释为执行在日历事件中找到的任务的授权。
由于没有硬编码的防护措施来阻止数据从低信任度连接器(Google 日历)流向高信任度的本地执行器(Desktop Commander),Claude 会继续执行以下操作:
· 从日历中读取恶意指令。
· 使用本地 MCP 扩展从攻击者的仓库执行 git pull。
· 执行下载的 make.bat 文件。
这整个过程在没有针对代码执行的特定确认提示的情况下发生,从而导致系统被完全攻陷。用户以为自己只是在请求更新日程,而 AI 代理却在无声中将系统的控制权交给了恶意行为者。
该漏洞的独特之处在于,它并非传统的软件漏洞(如缓冲区溢出),而是一种“工作流故障”。缺陷在于 LLM 的自主决策逻辑。
Claude 的设计初衷是提供帮助并自主运行,通过链接工具来满足请求。然而,它缺乏理解以下情况所需的上下文:源自日历等公共来源的数据绝不应直接传输到特权执行工具中。
LayerX 的报告指出:“这在由 LLM 驱动的工作流程中造成了系统级的信任边界违规。将良性数据源自动桥接到特权执行上下文中从根本上是不安全的。”
LayerX 将这些发现披露给了 Claude 的创造者 Anthropic。令人惊讶的是,据报道该公司决定目前不修复此问题,可能是因为该行为符合 MCP 自主性和互操作性的预期设计。修复它将需要对模型链接工具的能力施加严格限制,这可能会降低其实用性。
在实施补丁或架构更改之前,LayerX 建议,对于安全敏感的系统,应认为 MCP 连接器是不安全的。
研究团队建议用户,如果他们还使用摄入外部非受信数据(如电子邮件或日历)的连接器,则应断开高权限的本地扩展。
随着 AI 代理从聊天机器人转变为主动的操作系统助手,攻击面已经发生了变化。这个零点击远程代码执行(RCE)漏洞发出了一个警告:授予 AI 代理访问我们数字生活的权限,也使我们暴露在那些能够操纵其数据的人面前。让 AI 处理任务的便利性伴随着巨大的安全风险。
消息来源: cybersecuritynews.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容