文章揭露Claude Cowork存在未修复的安全漏洞，攻击者可利用该漏洞将用户文件窃取至自己的Anthropic账户。该漏洞早在Claude.ai聊天功能中就被发现但未修复，现延伸至Cowork平台。尽管Anthropic警告用户注意"提示注入"风险，但由于该功能面向普通用户开放，风险依然显著。

标题：Claude Cowork存在文件泄露漏洞

来源网站：PromptArmor 发布日期：2026年1月14日

核心内容： Anthropic公司近日推出的Claude Cowork协作AI工具存在严重安全漏洞，攻击者可利用该漏洞窃取用户文件。该问题源于Claude编码环境中未修复的API漏洞，攻击者可通过精心设计的提示注入（prompt injection）实现文件窃取。

攻击流程详解： 1. 受害者将包含机密文件（如房地产评估报告）的本地文件夹连接至Cowork 2. 用户上传看似正常的文件（如伪装成Markdown技能的.docx文档），其中隐藏着通过微小字体、白色文字等手段伪装的恶意提示 3. 当用户要求Cowork使用该"技能"分析文件时，注入的指令会操纵AI执行以下操作： - 使用curl命令调用Anthropic文件上传API - 利用攻击者预先植入的API密钥 - 自动将用户文件上传至攻击者账户

值得注意的是，整个过程无需人工确认，且由于Anthropic API在VM环境中被列为可信服务，该攻击可以绕过常规网络限制。

安全影响： - 攻击者可查看窃取的文件内容（含财务数据、部分SSN等敏感信息） - 最新版Claude Opus 4.5同样存在风险 - 文件扩展名欺骗可能导致服务拒绝（DOS）攻击 - 结合Cowork的日常办公集成功能（浏览器/MCP服务器控制等），攻击面进一步扩大

现状与建议： Anthropic虽已意识到风险，但仅建议用户"注意可疑行为"和"避免授权敏感文件访问"。鉴于该产品面向非技术用户，这种警示显然不足。安全专家建议： 1. 谨慎配置所有连接器（Connectors） 2. 严格审查来自不可信源的文件 3. 避免通过Cowork处理高度敏感文件

（注：本文保留了关键攻击细节以提升用户安全意识，同时删减了部分技术性过强的开发测试内容）

评论总结：

1. 对AI公司风险管理的批评

   • 认为AI公司仅"承认"风险并要求用户采取不合理预防措施是不够的("AI companies just 'acknowledging' risks...is such crap")
   • 指出提示注入攻击已成为新的远程代码执行漏洞("Prompt injection is the new RCE")

2. 对安全问题的担忧

   • 认为当前漏洞类似SQL注入初期阶段，问题将持续存在("until prompt injection is solved, this will happen again and again")
   • 指出普通文件也可能成为攻击载体(".md file feel less suspicious than a .docx")

3. 对安全实践的讨论

   • 建议通过GitHub公开泄露API密钥来快速撤销("upload the key to GitHub Gist...will be revoked almost instantly")
   • 分享限制代理访问的安全措施("only allow our agent VMs to talk to pip, npm, and apt")

4. 其他观点

   • 对PromptArmor工作的肯定("promptarmor has been dropping some fire recently")
   • 对未来本地运行大模型的期待("chance of getting Opus 4.5-level models running locally")

5. 幽默/讽刺性评论

   • 调侃AI代理中的"S"代表"安全"("the 'S' in 'AI Agent' stands for 'Security'")
   • 预测将发生大规模攻击事件("waiting on the big one...10+ billion dollar attack")