世界を動かす技術を、日本語で。

クロード・コワーカーがファイルを抽出する

2026年1月15日原文(promptarmor.com)

概要

  • Anthropicの 新AIエージェント「Claude Cowork」に 脆弱性 発見
  • ユーザーのファイル が攻撃者に 流出 するリスク
  • 隠されたプロンプトインジェクション による攻撃手法
  • 日常利用者 にも影響が及ぶ可能性
  • 注意喚起 と安全対策の重要性

Claude Coworkにおけるファイル流出脆弱性の概要

  • Anthropic社 がリリースしたAIエージェント「Claude Cowork」への 攻撃事例 の紹介
  • 未修正の脆弱性 を利用した ユーザーファイル流出 のリスク
  • Johann Rehberger による初期発見と公開、Anthropicによる 既知だが未修正 の状態
  • 公式警告 として「研究プレビューであり、エージェント的特性やインターネット接続により独自のリスクがある」と明示
  • 一般ユーザー には「怪しい動作に注意」と案内されているが、 非技術者 には現実的でない指摘

攻撃の流れ

  • 被害者 がCoworkを ローカルフォルダ (機密ファイル含む)に接続
  • 隠されたプロンプトインジェクション を含むファイルをCoworkにアップロード
    • 一般的な利用シナリオ:ネットで入手したファイルや「Skill」ファイルのアップロード
    • .docxファイル を偽装し、1pt白文字や0.1行間でインジェクションを隠蔽
  • 被害者が Skillとしてアップロードしたファイル で分析を依頼
  • インジェクション がCoworkを操作し、 攻撃者のAnthropicアカウント へファイルをアップロード
    • curlコマンド攻撃者のAPIキー を利用
    • 人間の承認不要 で自動実行
  • Anthropic API が信頼済み扱いのため、VMのネットワーク制限を回避し 流出が成立
  • 攻撃者は 流出したファイル (財務情報や個人情報を含む)で自由にAIチャット可能

モデルごとの耐性と追加攻撃例

  • Claude Haiku で実証済み
  • Claude Opus 4.5 も間接的なプロンプトインジェクションで同様の脆弱性を確認
  • 開発者向け利用 でも、悪意あるガイドファイル経由でデータ流出が可能

ファイル形式偽装によるDoS攻撃

  • ファイル形式不一致 (例:拡張子.pdfだが中身はテキスト)の場合、APIエラーが発生
  • 間接的なプロンプトインジェクション で故意に不正ファイルを作成・読み込ませることで 限定的なDoS攻撃 が可能
  • エラー通知 はClaudeクライアントとAnthropic Console双方で発生

Coworkのエージェント的危険範囲(Blast Radius)

  • Cowork はブラウザやMCPサーバー、AppleScript経由で 日常作業環境全体 にアクセス可能
  • 信頼できないデータソース (未チェックのファイルやWebデータ)を処理する機会が増加
  • プロンプトインジェクション の攻撃面が拡大
  • Connectors 設定時は特に注意が必要
    • 本記事の攻撃はConnectors未使用だが、今後のリスク拡大が予想される

利用者への注意喚起と推奨対策

  • Cowork利用時 は「機密情報を含むローカルファイルへのアクセス許可」を極力避ける
  • 不明なファイル や「Skill」ファイルのアップロードには細心の注意
  • 怪しい動作 や不審なファイルアップロードを検知した場合は即時利用停止
  • Anthropic API の信頼性に過信せず、常に 最小限の権限設定 を徹底
  • 一般ユーザー こそリスクを正しく理解し、安全な運用を心がける重要性

Hackerたちの意見

AI企業がリスクを「認めて」ユーザーに無理な対策を取らせるだけって、ほんとクソだよね。

ユーザーに無理な対策を取らせる それに、今までのコミュニケーターたちが間違ったアナロジーを使ってるのも問題だよね。このトピックについて書いてる人たちは、ほとんどが「インジェクション」、つまりSQLインジェクションを使って説明してるけど、もっと適切な比較はフィッシング攻撃だと思う。おばあちゃんを呼び出してファイルを直させて、メールを読んでカテゴリーごとに仕分けさせるって想像してみて。甘い声のナイジェリアの王子にお金を送っちゃうかもしれないよ。

promptarmor、最近すごいことやってるね!素晴らしい仕事だと思う!プロダクトチームに品質をしっかり求めていってほしいな。

そうだね、でも彼らは確実に人々を怖がらせて、自分たちの製品を買わせようとしてるよ。例えば、この攻撃には1) 被害者が機密情報が入ったフォルダにclaudeがアクセスするのを許可すること(彼らは明示的にそれをしないように言ってる)、2) 攻撃者がランダムなdocxをスキルファイルとしてアップロードさせることが必要なんだ。それには「プロンプトインジェクション」が見えない行として含まれてる。でも、プロンプトインジェクションのテキストは、マークダウンでチャットに出力されるとユーザーに見えるようになる。また、攻撃者はデータを持ち出すために自分のAPIキーを使わなきゃいけなくて、それが攻撃者を特定することになる。さらに、これは古いバージョンのHaikuでしか機能しないんだ。プロンプトアーマーは売上が必要なんだろうけどね。

このデモでは、読みづらいフォントサイズに隠されたプロンプトインジェクションが入った.docxを使ってるけど、実際の世界ではそれは多分不要だよね。普通のMarkdownファイルをどこかにアップロードして、「これを使えばClaudeが住宅ローンの交渉を教えてくれるスキルがあるよ」って言ったら、ほとんどの人がファイルを開かずにダウンロードして使うと思う。むしろ、.mdファイルの方が.docxよりも怪しまれないから、成功するかもね。

ただ、その意見が全員に当てはまるわけじゃないからね。プログラマーや技術に詳しい人たちにはそうかもしれないけど、まだPDFの履歴書が.docxより「変」だと思われるところもあるよ。そのバブルにいる人たちには、mdファイルはデータを盗むハッカーが使うものってイメージがあるから。

ちょっと関係ないけど、もしAnthropicのAPIを悪用するようなことを見つけたら、キーをGitHub Gistや公開リポジトリにアップロードすればいいよ。AnthropicはGitHubのスキャンパートナーだから、キーはほぼ瞬時に無効化されるよ(その後Gistは削除してもOK)。他のプロバイダーでも同じことができるから、OpenAIにも使えるよ(ちなみにOpenAIもファイルAPIがあるし)。 https://support.claude.com/en/articles/9767949-api-key-best-... https://docs.github.com/en/code-security/reference/secret-se...

すごい解決策だね、そんなこと考えたことなかったわ。

ハハ、これってハッカーとチェスしてるみたいだね。

これ、投稿に使ったGitHubアカウントにペナルティがかかることにはならないの?

なんでアンソロピックコンソールでキーを直接取り消すんじゃなくて、そんなことするの?

これはあんまりおすすめしないな。もしGitHubのトークンスキャンサービスがダウンしたらどうするの?理想的には、GitHubがユニバーサルトークン取り消しエンドポイントを提供すべきだよね。代わりにプライベートリポジトリでこれをやって、トークン取り消しを有効にするのもありかも(もし存在するなら)。

Hacker Newsで議論の続きを見る