エクスクルーシブ Pantera Labs のレッド チーマーは、クラウド デスクトップ アプリを通じて開発者の AI エージェントを侵害し、最終的にはそのアクセスを Dave のマシン上で完全なリモート コード実行に変えました。これは、攻撃者がどのようにして信頼できるおしゃべりな AI アシスタントを自分たちの代わりに働く二重エージェントに変えることができるかを示しています。
Pantera の攻撃的セキュリティ サービス チームのリーダーである Dvir Avraham 氏は、「クラウドに新たな声が加わりました」と述べています。 登録する。
「私たちはAIモデルに対する多大な信頼を当然のことと考えており、誰もがAIモデルを使用しています」と同氏は電話インタビューで語った。 「私たちはこの信頼を利用して被害者を操作し、騙されて被害者が気付かないようにしました。」
また、これはエイブラハムが自身のプラットフォームを調査するきっかけにもなりました。 「ちょっと気が狂ってしまった」と彼は私たちに語った。 「注文を二度確認せずに発送することは許可しません。」
水曜日に発行されるレポートで、事前に独占的に共有される 登録する、 Avraham 氏と研究技術責任者の Reif Spector 氏は、この攻撃について詳しく説明し、ローカル コード実行アクセスを持つエージェント AI ツールを使用している組織にとってそれが何を意味するのかについて説明しました。
それは、顧客の電子メール受信箱を 1 つの管理インターフェイスに集約するサードパーティ プラットフォームへのレッド チームの割り当てから始まりました。アブラハムとスペクターはプラットフォームの名前を明かさなかったし、どのようにしてプラットフォームにアクセスしたのかを正確に語ろうとしなかった。彼らは、この侵害された受信トレイを使用して被害者のクラウド アカウントにアクセスし、侵害された受信トレイはすべて機能すると私たちに言いました。
2 人が指摘したように、サードパーティの管理プラットフォーム、フィッシング リンク、ソーシャル エンジニアリングのパスワード リセット、さらには AI エージェントを使用して、現実のメール受信箱に侵入することは、それほど難しいことではありません。 「今日の AI エージェントはコネクタにアクセスでき、MCP を受信箱に誘導する便利な機能を備えています」とスペクター氏は述べています。
この状況 (受信トレイの侵害) に加えて、攻撃チェーンでは被害者にクラウド デスクトップがインストールされている必要もあります。 Anthropic のデスクトップ アプリは、macOS、Windows、Linux システムで動作します。会話用に claude.ai に似た AI チャットを提供し、ユーザーのアカウントに関連付けられたデバイスとセッション間で同期することもできます。
「私たちは、同期動作を利用して他のセッションやデバイスに感染できるだろうかと自問しました(ヒント:はい!)」とレッドチームのメンバーは水曜日のレポートで書いている。
AIは石器時代に戻る
1 月の時点で、デスクトップ アプリには共同作業用のコードや、長時間のエージェント タスク用のソフトウェア開発も含まれています。したがって、たとえば、ユーザーは自分の携帯電話からタスクをクラウドに送信し、自分のコンピュータ上でその作業を実行するように指示できます。 Anthropic 氏は次のように述べています。「コンピューターで実行できることはすべて、クラウドでも実行できます。アプリを開いたり、スプレッドシートに記入したり、ブラウザーを操作したりできます。セットアップもパスワードも必要ありません。」
Cowork 機能により、Pantera Labs の攻撃シナリオがさらにシンプルになりました。
しかし、2025 年 11 月にセキュリティ アナリストがこの調査を行っていたとき、「AI の石器時代には、コワークやクラウド コードはありませんでした。そのため、マシンを乗っ取りたかったので、コマンドを実行する方法が本当に必要でした」とアブラハム氏は述べました。
この部分では、彼はクラウド デスクトップのパーソナライゼーション機能に強い関心を示しました。これらは、AI エージェントに、ユーザーの好みのアプローチや一般的なコミュニケーション指示だけでなく、特定のワークフローのガイドラインやクラウドがプロジェクト内で採用する必要がある定義された役割など、より具体的なプロジェクト指示を伝えるアカウント全体の設定です。
Red Teamers は、開発者のマシン上でコマンド対応ツールを確認し、利用可能な場合はそのコマンドを実行するか、そうでない場合は偽のエラー メッセージを生成し、ユーザーに攻撃者のコマンドを実行するツールをダウンロードするようクラウドに指示する、base64 でエンコードされたプロンプトを開発しました。次に、プロンプトをクラウド上の被害者の個人設定に貼り付け、プロンプトはユーザーのすべてのデバイス間で同期されました。これにより、次回ユーザーがクラウド デスクトップを開いてチャットに入力したときに、有害な命令が設定に読み込まれ、舞台裏で静かに実行されることが保証されます。
私たちは AI モデルに対する絶大な信頼を受け入れており、誰もが AI モデルを使用しています。私たちはこの信頼を利用して被害者を操作し、騙されて被害者が気付かないようにしました。
ユーザーは、いつものようにクラウドと対話していると思います。彼らは、クラウドがどのような拡張機能やツールがインストールされているかをチェックしていることを知りません。
ユーザーが既に Desktop Commander または同様の MCP コネクタまたは拡張機能をインストールしている場合、ポイズニングされた命令は Cloud に代わりにそれを使用するように指示します。これにより、攻撃者はクラウドを介して、秘密のリバース シェルやその他の悪意のあるコードを実行することができます。 「そこからがこのマシンのすべてです」とアブラハム氏は語った。
フィッシング – ただし電子メールは使用しない
ただし、コマンド対応ツールがインストールされていない場合、クラウドは研究者が言うところの「フィッシング層」になります。 (彼らはまた、この調査を 11 月ではなくもっと最近に行っていたら、Cowork はユーザーに代わってコマンドを実行できるため、Cloud Cowork 機能によってこのツールの列挙とフィッシングのステップ全体が排除されていただろうとも指摘しました。)
被害者がチャットボットに質問すると、インジェクション プロンプトはクロードに現実的なエラーをレンダリングするように指示します。これには、現実的なエラー コード、修正内容へのリンク、および段階的な手順が含まれています。
「このメッセージは被害者に『これをダウンロードしてください』と伝えるもので、我々は実際のAnthropicサイトへのリンクを取得した。そこにはAIが好む既知の絵文字が含まれていた」とアブラハム氏は語った。
エラー メッセージは本物のように見え、人々は一般に AI アシスタントを信頼しているため、リンクをクリックして攻撃者が制御するコマンドを実行する可能性があります。
「ここから、攻撃者はリバース シェル、データ漏洩、認証情報の収集など、目的が要求するものは何でも、完全なコマンドを実行できる」と二人は書いている。 「私たちの場合、Cloud Curl をリモート サーバーとして使用し、すべての対話で制御し、返された bash コマンドを取得して実行しました。これらのコマンドをサーバー側で自由に回転させることができ、効果的にクラウドを永続的な秘密の C2 エージェントに変え、被害者が自分自身に餌を与え続けました。」
この特定のケースでは、資格情報を持ち、複数の内部システムにアクセスできる開発者がターゲットでした。 Dave のワークステーションが侵害された後 (これによりレッド チーマーは組織内に足場を築くことができました)、彼らはさまざまな攻撃ベクトルを使用して社内に侵入しましたが、彼らは顧客のプライバシーと独自の手法を理由に、私たちにそれについて話すことを拒否しました。
しかしスペクター氏は、APIキー、トークン、クラウド認証情報などの機密情報にアクセスできるため、開発者は「攻撃者にとって優れた出発点」を作っており、侵入者が単一のワークステーションから大規模な組織のクラウド環境に移動することを可能にしていると述べた。そこから、最近の攻撃で何度も見てきたように、彼らはソース コードやその他の機密データを自由に盗んだり、内部 Git リポジトリを汚染したりして企業にあらゆる種類の苦痛を引き起こすことができます。
バグではなく機能
チームは11月に調査結果をAnthropicに報告し、AI企業は基本的に、このクラウドデスクトップは意図したとおりに動作している、つまりバグではなく機能であると述べた。
「あなたの提出物を検討した結果、私たちはそれが私たちのプログラムの範囲に含まれるセキュリティ上の脆弱性を表していないと判断しました」とアントロピック氏は述べた。 「当社の現在の脅威モデルは、個人の好み、スキル、および MCP コネクタを、設計上、クラウド デスクトップを通じてコードを実行できる機能として扱っています。これらの機能が操作されれば、任意のコードを実行するために利用される可能性があることは認識していますが、これは当社のインフラストラクチャのセキュリティ上の脆弱性ではなく、予想される機能を表しています。」
登録する Anthropic にコメントを求めたが、返答は得られなかった。
ただし、レッド チーマーは、不正な AI エージェントから組織を守るためのヒントをいくつか持っています。
まず第一に、エージェントまたはチャットボットを使用している人へ: AI がマシン上で実行できることに細心の注意を払い、インストール プロンプトやエラー メッセージに盲目的に従わないでください。 「できれば、パーソナルコンピュータではなく、サンドボックス上で実行してください」とスペクター氏は言う。
AI デスクトップ アプリはコードを実行し、ファイルを読み取り、ネイティブ ツールと対話できるため、セキュリティ チームは AI デスクトップ アプリを「特権ソフトウェア」として扱う必要があります。研究者らは「AIアシスタントの構成と同期された設定への変更を監視する」と書いている。 「AI アプリと一緒にインストールできる拡張機能とツールを制限します。」
そして最後に、レッドチームはAIデスクトップアプリを評価ツールボックスに追加すべきだとアブラハム氏とスペクター氏は述べ、「ここには、ほとんどの取り組みがまだカバーしていない本当の攻撃対象領域がある」と語った。 ®









Leave a Reply