- Claude’un Kod Yorumlayıcısı, hızlı enjeksiyon yoluyla özel kullanıcı verilerini sızdırmak için kullanılabilir
- Araştırmacı, API erişimini kullanarak korumalı alana alınmış verileri Anthropic hesabına yüklemesi için Claude’u kandırdı
- Anthropic artık bu tür güvenlik açıklarını raporlanabilir olarak ele alıyor ve kullanıcıları erişimi izlemeye veya devre dışı bırakmaya teşvik ediyor
Claude en popülerlerden biri Yapay zeka araçları Uzmanlar, bu yazılımın tehdit aktörlerinin özel kullanıcı verilerini sızdırmasına olanak tanıyan bir güvenlik açığı taşıdığı konusunda uyardı.
Yakın zamanda bulguları hakkında derinlemesine bir rapor yazan siber güvenlik araştırmacısı Johann Rehberger, diğer adıyla Wunderwuzzi, sorunun merkezinde, yapay zekanın doğrudan bir konuşma içinde kod yazmasına ve çalıştırmasına (örneğin, verileri analiz etmek veya dosya oluşturmak için) olanak tanıyan korumalı alanlı bir ortam olan Claude’un Kod Yorumlayıcısı olduğunu buldu.
Son zamanlarda Code Interpreter, internete bağlanmasına ve örneğin yazılım paketlerini indirmesine olanak tanıyan ağ istekleri yapma yeteneğini kazandı.
Claude’a göz kulak olmak
Varsayılan olarak, Anthropic’in Claude’unun yalnızca GitHub veya PyPI gibi “güvenli” alanlara erişmesi gerekiyor, ancak onaylı alanlar arasında kötüye kullanıma kapıyı açan api.anthropic.com (Claude’un kullandığı API’nin aynısı) yer alıyor.
Wunderwuzzi, Claude’u özel kullanıcı verilerini okuması, bu verileri sanal alana kaydetmesi ve Claude’un Dosyalar API’si aracılığıyla kendi API anahtarını kullanarak Anthropic hesabına yüklemesi için kandırabildiğini gösterdi.
Başka bir deyişle, ağ erişimi kısıtlı görünse de saldırgan, kullanıcı verilerini sızdırmak için hızlı enjeksiyon yoluyla modeli manipüle edebilir. Açıktan yararlanma, dosya başına 30 MB’a kadar aktarabilir ve birden fazla dosya yüklenebilir.
Wunderwuzzi, bulgularını HackerOne aracılığıyla Anthropic’e açıkladı ve şirket başlangıçta bunu bir “güvenlik açığı” olarak değil “model güvenlik sorunu” olarak sınıflandırsa da daha sonra bu tür sızıntı hatalarının raporlanma kapsamında olduğunu kabul etti. Anthropic, ilk başta kullanıcıların “özelliği kullanırken Claude’u izlemesi ve beklenmedik bir şekilde verileri kullandığını veya verilere eriştiğini görürseniz onu durdurması gerektiğini” söyledi.
Daha sonra yapılan bir güncellemede şöyle denildi: “Anthropic, bunun gibi veri sızıntısı güvenlik açıklarının raporlama kapsamında olduğunu doğruladı ve bu sorunun kapsam dışı olarak kapatılmaması gerekirdi” dedi raporda. “Ele almak için çalışacakları bir süreç aksaklığı vardı.”
Anthropic’e önerisi, Claude’un ağ iletişimini yalnızca kullanıcının kendi hesabıyla sınırlandırması ve kullanıcıların Claude’un etkinliğini yakından izlemesi veya endişeleniyorsa ağ erişimini devre dışı bırakması yönünde.
Aracılığıyla Kayıt
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.