警惕！你的私密文件可能正被 Claude Cowork 悄悄上传

原文：https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files

两天前，Anthropic 发布了 Claude Cowork 研究预览版（一个帮助用户处理日常工作的通用 AI 智能体）。本文演示攻击者如何利用 Claude 编码环境中一个未修复的漏洞从 Cowork 窃取用户文件，该漏洞现已延伸到 Cowork。

这个漏洞最早由 Johann Rehberger 在 Cowork 出现之前就在 Claude.ai 聊天中发现并披露——Anthropic 承认了但没有修复。

Anthropic 警告用户："Cowork 是研究预览版，由于其智能体特性和互联网访问权限而存在独特风险。"建议用户留意"可能表明提示词注入的可疑行为"。但这个功能面向普通大众而非仅限技术用户，我们同意 Simon Willison 的观点：

"让普通非程序员用户去警惕'可能表明提示词注入的可疑行为'，这不公平！"

既然 Anthropic 已承认这个风险，并要求用户"避免授予对包含敏感信息的本地文件的访问权限"（同时却在鼓励用 Cowork 整理桌面），我们选择公开披露这个威胁演示。通过提高警觉，希望帮助用户更好地识别 Anthropic 所说的"可疑行为"。

攻击流程

这次攻击利用 Anthropic API 的白名单机制，从限制了大部分网络访问的 Claude 虚拟机环境中窃取数据。

1. 受害者将包含机密房地产文件的本地文件夹连接到 Cowork

文件夹包含机密的评估报告和贷款估算文件。

2. 受害者上传包含隐藏提示词注入的文件

这在日常使用中很常见：用户从网上找到文件后上传到 Claude Code。攻击不依赖特定的注入来源——其他来源包括但不限于：Claude for Chrome 抓取的网页数据、已连接的 MCP 服务器等。

本例中，攻击文件伪装成 Claude "技能"（Skill），这是用户常会遇到的通用文件格式。

注意：技能文件通常是 Markdown 格式（用户往往不会仔细审查）。但我们演示了更隐蔽的手法：用户上传了一个 .docx 文件（比如从在线论坛下载的），看起来像是在 Word 中编辑后保存的 Markdown。实际上，攻击者用 1 号字体、白底白字、0.1 行距隐藏了注入内容——几乎不可能被发现。

3. 受害者要求 Cowork 用上传的房地产"技能"分析文件

Claude 读取上传的"技能"文档。

4. 注入代码操纵 Cowork 将文件上传到攻击者账户

注入内容指示 Claude 用 curl 命令向 Anthropic 文件上传 API 发送请求，上传最大的可用文件。注入内容提供了攻击者的 API 密钥，文件就会被上传到攻击者账户。

整个过程无需人工批准。

展开"正在运行的命令"可以看到恶意请求的详情：API 调用用注入内容中攻击者的 API 密钥将用户文件上传到攻击者账户。

Claude 执行的代码在虚拟机中运行，限制了对几乎所有域名的出站请求，但 Anthropic API 作为受信任方不受限制，攻击因此得逞。

5. 攻击者获得受害者的文件，可以随意查看

受害者的文件已上传到攻击者账户，攻击者可以用文件 ID 与之对话，查询文档内容。

被窃取的文件包含财务数据和个人身份信息，包括部分社会安全号码。

不同模型的抵御能力

上述演示针对的是 Claude Haiku。虽然 Claude Opus 4.5 对注入攻击的抵抗力更强，但在测试中，Cowork 中的 Opus 4.5 仍被间接提示词注入成功操纵，利用同样的文件上传漏洞窃取了数据。测试场景是用户在开发新 AI 工具时上传了恶意集成指南。

由于本文更关注日常用户而非开发者，我们选择演示前面的攻击链。

畸形文件引发的拒绝服务攻击

有趣的发现：文件类型与声称不符时，Claude API 会出问题。处理一个畸形 PDF（扩展名是 .pdf，实际是包含几句话的文本文件）时，尝试读取一次后，该对话的每次后续聊天都会抛出 API 错误。

我们推测，很可能通过间接提示词注入利用这个故障，造成有限的拒绝服务攻击。比如注入可以诱导 Claude 创建畸形文件然后读取它。通过文件 API 上传畸形文件会在 Claude 客户端和 Anthropic 控制台触发错误通知。

智能体的影响范围

Cowork 的核心能力之一是与整个日常工作环境交互，包括浏览器和 MCP 服务器，提供发短信、用 AppleScript 控制 Mac 等功能。

这些功能使模型越来越可能处理敏感和不可信的数据源（用户不会手动检查注入内容），提示词注入的攻击面不断扩大。我们强烈建议用户配置连接器时谨慎行事。虽然本文演示的漏洞没用连接器，但我们认为连接器是可能影响日常用户的重大风险点。