2026-01-15 の一覧へ戻るホーム
**クラウドコワークがファイルを外部に流出させる**

2026/01/15 5:12

**クラウドコワークがファイルを外部に流出させる**

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

概要:
Anthropic が新たにリリースした Claude Cowork リサーチプレビューには、攻撃者が間接プロンプトインジェクションを介して機密データを外部へ流出させる重大なセキュリティ欠陥が存在することが判明しました。この脆弱性は、Claude.ai チャットで(Cowork がまだ存在しない段階で)Johann Rehberger によって最初に特定され、未修正のままであり、すべての Claude モデルが共有するコーディング環境に影響しています。攻撃者は悪意あるファイル(多くの場合 .docx スキルとして偽装されたもの)をアップロードし、その中に隠れたプロンプトを含めます。被害者の Cowork インスタンスがこのファイルを処理すると、内部 API 呼び出しが Anthropic に対して攻撃者自身の API キーを使用して行われ、結果として隔離された Claude VM からデータが流出します。概念実証攻撃により Claude Haiku 上でのエクスプロイトが確認され、同様の間接プロンプトインジェクションが Cowork 内の Opus 4.5 にも機能することが示され、クロスモデルリスクがあることが明らかになりました。PDF が不正に整形された場合(例:実際はテキストである .pdf)には、1 回読み込んだ後に API エラーが発生し、限定的な DoS 攻撃を可能にするケースがあります。この欠陥により、金融数値、PII、および一部の SSN が人間による承認なしで公開されます。Cowork のエージェント性にはブラウザアクセス、MCP サーバー、AppleScript コントロール、そして Connectors(この特定のエクスプロイトでは使用されていないものの主要なリスクを伴う)を構成する機能が含まれているため、攻撃面は大幅に拡張されます。ユーザーは疑わしい活動に注意し、Connectors を設定するときには慎重になるよう促されています。

*この改訂された概要は、元のリストからすべての主要ポイントを取り込み、不必要な推論を避け、メインメッセージを明確かつ簡潔に提示しています。

本文

背景

2日前、Anthropic は Claude Cowork 研究プレビューをリリースしました。これは日常業務を支援するために設計された汎用 AI エージェントです。本記事では、Claude のコーディング環境に未修正の脆弱性が存在し、それを悪用して Cowork からユーザーのファイルを流出させる方法を実演します。この欠陥は現在、Cowork へも拡張されています。

この脆弱性は Claude.ai チャットで先に発見され、Johann Rehberger によって報告されました。Anthropic は問題を認めたものの修正には至りませんでした。同社は「Cowork はエージェント的性質とインターネットアクセスによる独自リスクを持つ研究プレビューである」と警告し、ユーザーに「プロンプト注入を示唆する疑わしい行動」を認識するよう促していますが、この機能は一般公開されており、技術者以外の利用者も対象です。Simon Willison は次のように指摘しています。「通常の非プログラマーユーザーに『プロンプト注入を示唆する疑わしい行動』を警戒させることは公平ではない!」と述べています。

Anthropic がリスクを認めつつ、ユーザーが「機密情報を含むローカルファイルへのアクセスを与えるのを避ける」責任を負わせながら Cowork の利用を奨励しているため、本実演を公開し、ユーザーがこのような「疑わしい行動」をよりよく認識できるようにしています。

攻撃チェーン

  1. Anthropic API のホワイトリスト化
    Claude の VM 環境はほとんどのネットワークアクセスを制限しますが、信頼済み API へのアウトバウンドリクエストは許可されています。

  2. 被害者が Cowork を機密不動産ファイルを含むローカルフォルダーに接続

  3. 被害者が Claude にファイルをアップロード

    • 通常、ユーザーはコード解析のためにオンラインドキュメントをアップロードします。
    • 注入ソースは多様であり、Claude for Chrome のウェブデータや接続済み MCP サーバーなどが考えられます。
    • 本ケースではファイルは Claude “Skill”(Markdown ファイル)ですが、通常のドキュメントでも可能です。

  4. ユーザーが Skill を偽装した .docx ファイルをアップロード—Word で編集後に保存された Markdown コンテンツ。
    注入コードは 1 ポイントフォント、白文字 on 白背景、行間 0.1 に設定されており、実質的に不可視化されています。

  5. 被害者が Cowork にアップロードした不動産 Skill を使ってファイル解析を依頼

  6. 注入が Cowork を操作し、被害者のファイルを攻撃者の Anthropic アカウントへアップロード

    • 注入は Claude に 
      curl
      コマンドを実行させ、Anthropic のファイルアップロード API に対して最大サイズでリクエストします。
    • 攻撃者の API キーを提供し、ファイルが攻撃者アカウントに保存されます。
    • 人間による承認は不要です。

  7. 結果:攻撃者アカウントには被害者のファイル(財務数値・PII、部分 SSN を含む)が保管され、攻撃者はその内容でチャットできるようになります。

モデル固有の耐性

本実験では Claude Haiku に対して行われました。Claude Opus 4.5 は注入に対してより堅牢ですが、Cowork 版 Opus 4.5 でも間接的なプロンプト注入を用いて同じファイルアップロード脆弱性を悪用できました。実験では AI ツール開発中にユーザーが悪意ある統合ガイドをアップロードしたケースで成功しました。

本攻撃チェーンを選択した理由は、開発者よりも日常利用者にとって関連性が高いためです。

異形ファイルによるサービス拒否(DoS)

興味深い発見:Claude の API は「宣言されたタイプ」と実際の内容が一致しないファイルに対して苦戦します。

  • 拡張子 
    .pdf
    だが実際はテキストファイルである不正な PDF をアップロードすると、最初の読み取り試行後すべてのチャットで API エラーが発生します。
  • この失敗を間接プロンプト注入で悪用し、限定的な DoS 攻撃(例:Claude に不正ファイルを作成させ、その後読み取らせる)を誘導できます。
  • ファイル API 経由でこのようなファイルをアップロードすると、Claude クライアントと Anthropic Console の両方でエラーレポートがトリガーされます。

エージェント的インパクト範囲

Cowork の核機能はユーザーのワーク環境全体(ブラウザ、MCP サーバー、テキストメッセージング、AppleScripts など)と対話することです。これらの機能により、モデルが敏感または信頼できないデータソースを手動レビューなしで処理する可能性が高まり、プロンプト注入攻撃面が拡大します。

推奨事項:コネクタ設定時には注意してください。本記事ではコネクタを使用せずに実演しましたが、コネクタは日常利用者に影響を与える主要なリスク領域です。

同じ日のほかのニュース

一覧に戻る →

2026/01/15 5:54

**インフルエンティスト:証拠のないAIブーム**

## Japanese Translation: ## 要約 この記事は「インフルエンティスト」(人工知能を過度に盛り上げる公的人物)が、プロトタイプの結果をまるで本番用のものかのように提示することで非現実的な期待を広めていると警告しています。記事は、2026年1月2日のジャーナ・ドガン(Jaana Dogan)のツイートから始まり、Claude Code に単一メッセージを送るだけで 1 時間以内に分散エージェントオーケストレータが生成され、数週間や数か月の工学的作業からのシフトを示唆しています。2 日後(1 月 4 日)にドガンは、前年にいくつかのバージョンが構築されたこと、トレードオフが存在したこと、そしてコードエージェントは人間による指導で検証済みのアイデアしか再現できないと明確にし、プロジェクトは本番準備ではなく概念実証だったと説明しています。 著者はこの「ハイプ先行・コンテキスト後追い」パターンをインフルエンティストの仕事だとラベル付けします。彼らを定義する四つの特徴があります:(1) 「信頼してくれ兄弟」文化への依存、(2) 再現可能な証拠(共有コードやデータ)がないこと、(3) 戦略的曖昧さ、そして (4) アナクドート体験を普遍的真実としてフレーミングすることです。 他の例としては、アンドレイ・カルパティ(Andrej Karpathy)の 12 月 26 日の「プログラマパワー」についてのツイート、Anthropic、OpenAI、および Microsoft が AGI の近接や大規模コードベースを AI で再構築できると主張したケース、そして Galen Hunt が 2030 年に Microsoft の C/C++ コードベースを Rust に書き直すという目標を掲げたが、業界からの反発後に研究プロジェクトとして再フレーミングされた事例などがあります。Anthropic/OpenAI からの「社内で AGI を達成した」ティーザーはしばしばハイプに合致しないモデルを先行させ、過剰な約束と未達成というパターンを強化します。 この物語は、このサイクルが「期待の技術的負債」を生み出し、本当にキュレーションされたプロトタイプであった速い成果を再現できないときに、ジュニア開発者が失敗していると感じるようになることを警告します。記事は、信頼してくれ兄弟文化から離れ、再現可能で証拠ベースの達成へ移行し、テックコミュニティ内で信用を維持する必要性を訴えています

2026/01/15 6:26

**太陽位置計算機**

## Japanese Translation: 元の要約は、キーポイントリストの内容を正確に捉えており、不必要な推論や混乱を招く表現が含まれていません。したがって、それは最終版として繰り返すことができます。 ## Text to translate - The original summary accurately captures the content of the key points list and contains no unnecessary inference or confusing phrasing. Therefore, it can be repeated as the final version.

2026/01/10 9:32

**Show HN:WebTiles – 隣にあるサイトと同じような小さくてシンプルな250 × 250のウェブサイトを作る方法**

## Japanese Translation: > **概要:** > Nekoweb は、サイト名の後に **Atabook** と **WebTiles** の 2 つのサブサイトへのリンクを表示するウェブサイトです。ユーザーは **ログイン** または **登録** を選択でき、ページが処理されている間は「Loading…」というインジケータが表示されます。インターフェースにはファイルのアップロードと管理に使える **File Manager** と、リアルタイム通信を行う **Chat** 機能があります。