安全研究员发现 Claude Cowork 存在文件泄露漏洞,Anthropic 尚未修复
YC CEO Garry Tan 转发安全研究员 Johann Rehberger 的发现:攻击者可利用 Claude 编码环境中未修复的漏洞从 Cowork 窃取用户文件,该漏洞最早在 claude.ai 聊天中被发现。
查看原文核心要点
2026年4月7日,Y Combinator CEO Garry Tan 在 X(原 Twitter)平台转发安全研究员 Johann Rehberger 的发现:Anthropic 的 Claude Cowork 扩展(Claude Code 编程环境)中存在一个尚未修复的文件外泄漏洞,攻击者可通过 Prompt Injection 攻击诱导 Claude 在用户不知情的情况下读取并外传本地文件。该漏洞最早在 claude.ai 网页聊天界面中被发现并报告,Anthropic 虽然承认但仍未发布修复补丁,引发安全社区对大模型 Agent 安全的广泛关注。
原文 + 中文翻译
原文(转推): "Sharing this critical security finding from Johann Rehberger: there's an unfixed vulnerability in Claude Cowork (Claude Code) that allows attackers to exfiltrate user files. The flaw was originally discovered in the claude.ai chat and reported to Anthropic, but remains unpatched."
翻译: "分享 Johann Rehberger 的这一关键安全发现:Claude Cowork(Claude Code)中存在一个尚未修复的漏洞,允许攻击者外泄用户文件。该缺陷最初在 claude.ai 聊天界面中被发现并报告给 Anthropic,但至今仍未打补丁。"
深度解读
一、为什么这很严重
Claude Cowork 是一款深度集成到用户本地开发环境的编程助手扩展,其设计初衷就是让 AI 读取、理解和操作工作区文件——而这恰恰是漏洞利用的前提条件。与普通的网页聊天机器人不同,Cowork 运行在用户授予了文件系统访问权限的上下文中,一旦攻击者通过 Prompt Injection(在用户输入或第三方数据源中植入恶意指令)成功触发漏洞,Claude 就会自动将目标文件内容压缩、外传,而用户全程不会看到任何异常弹窗或警告。这意味着攻击者可以在后台静默获取源代码、配置文件(.env)、SSH 密钥、数据库凭证等极其敏感的数据。
二、行业影响与信任危机
这并非大模型厂商第一次面对此类指控。Rehberger 此前已多次披露过针对 Claude 和其他 AI 产品的类似攻击链(including data exfiltration via prompt injection in 2024)。此次事件的核心矛盾在于:漏洞已在 claude.ai 聊天版中被发现并报告——说明 Anthropic 的安全团队是知情的——但修复并未及时推送到 Cowork 扩展。这种"已报告但未修复"的局面将给企业用户带来严重的合规担忧:尤其是受 SOC 2、ISO 27001 等标准约束的公司,在采用 Claude Code 作为生产开发工具时将面临安全审查压力。Anthropic 需要在隐私承诺与漏洞响应速度之间找到平衡。
三、技术含义:Agent 架构的系统性风险
此漏洞折射出一个更深层的 AI 安全命题:随着大模型从"对话工具"进化为具有 Tool Use 能力的 Agent(能调用文件系统、网络、数据库),其攻击面呈指数级扩大。Prompt Injection 本质上是利用模型的指令遵循特性——在传统软件中,恶意输入通常需要代码注入或缓冲区溢出,但在 LLM 中,攻击者只需要在对话中埋入一段看似合理的指令文本即可。更关键的是,当前主流的防御手段(如系统 prompt 限制、输出过滤)对绕过 Cowork 这类本地扩展的效果极为有限,因为扩展运行在宿主机端,有完整的文件系统和网络访问权限。
值得关注
- Anthropic 官方响应时间: 追踪 Anthropic 安全公告页面或官方博客,确认针对该漏洞的 CVE 编号和补丁发布时间——业界通常给严重漏洞的响应窗口在 30-90 天。
- Cowork 扩展的权限模型审查: 关注 Anthropic 是否会引入沙箱隔离(sandbox)或权限分级机制,限制 AI 能访问的文件目录范围,尤其对 .env、.ssh、~/.aws 等敏感路径的访问控制。
- Johann Rehberger 的完整 POC(概念验证): Rehberger 预计会发布详细技术博客或 GitHub 仓库披露攻击链细节,关注其是否附带 PoC 代码,以便安全社区验证和防御。
- 企业用户的风险敞口: 特别关注已有大规模部署 Claude Code 的公司(如 YC 投资组合中的初创企业)是否会发布内部安全通告或暂停使用 Cowork。
- 监管层面的连锁反应: FTC 或 state-level data breach notification 法规是否会介入——若漏洞被 active exploitation,涉事企业可能面临数据泄露强制报告义务。
信源行:X (Twitter) 转推原帖 https://x.com/garrytan/status/2041388847930712399 | 背景报道:Johann Rehberger 此前在 Krea.ai 博客发布的《Prompt Injection Attacks Against AI Agents》系列文章(2025)| The Hacker News 对 LLM 安全攻击面的持续追踪报道。