Pentera Labs показала атаку через Claude Desktop с удалённым выполнением кода
Исследователи Pentera Labs описали сценарий, в котором злоумышленник может использовать Claude Desktop для удалённого выполнения кода на компьютере разработчика. Атака начиналась с компрометации почтового ящика через стороннюю платформу для агрегации корпоративной почты. После этого исследователи получили доступ к аккаунту Claude жертвы. Как пишет The Register, в Pentera Labs считают такой сценарий примером злоупотребления доверием пользователей к ИИ-ассистентам.
Руководитель offensive security services в Pentera Двир Авраам и технический лидер исследований Reef Spektor объяснили, что ключевую роль сыграла синхронизация настроек между устройствами в Claude Desktop. Исследователи внедрили в персональные настройки Claude промпт, закодированный в base64. Он проверял, есть ли на машине разработчика инструменты для выполнения команд. Если подходящий инструмент находился, Claude запускал команду. Если нет, пользователь видел ложное сообщение об ошибке с предложением установить нужный инструмент.
В Pentera Labs отмечают, что вредоносные инструкции автоматически синхронизировались между устройствами пользователя и загружались при следующем запуске Claude Desktop. При этом интерфейс чата выглядел обычным, поэтому пользователь не замечал скрытых действий агента. Исследование проводилось ещё до появления функций Cowork и Claude Code, но в компании считают, что такие возможности могут упростить подобные сценарии атак, поскольку позволяют запускать задачи на компьютере пользователя через Claude.
Ключевые факты
Pentera Labs добилась удалённого выполнения кода через Claude Desktop после компрометации почтового ящика пользователя.
Атака использовала синхронизацию персональных настроек Claude между устройствами пользователя.
Исследователи внедрили в настройки Claude base64-кодированный промпт для поиска и запуска инструментов выполнения команд.
Исследование проводилось до появления функций Cowork и Claude Code в Claude Desktop.