文章总结: 安全研究人员发现一种AI双Agent攻击,通过入侵电子邮箱获取Claude账户访问权限,利用个人偏好字段注入恶意提示词,使Claude桌面版在受害者机器上执行远程代码。攻击可借助已安装的扩展程序或通过社会工程学诱导安装恶意扩展,实现持久控制。厂商认为此行为属预期功能而非漏洞。安全团队应监控AI助手设置并限制扩展程序。 综合评分: 84 文章分类: 漏洞分析,红队,内网渗透,AI安全,安全工具
AI双Agent攻击:利用Claude桌面版在目标机器上执行远程代码
FreeBuf
2026年7月9日 18:32 上海
在小说阅读器读本章
去阅读
安全研究人员发现,被入侵的电子邮箱可被武器化,在受害者机器上实现完整的远程代码执行——这种攻击并非通过恶意软件或钓鱼链接,而是将受害者自己的Claude桌面助手变成攻击工具。
Pentera实验室的安全研究人员发现的这种攻击始于通过第三方平台获取客户邮箱访问权限,该权限是通过利用认证流程漏洞获得的。研究团队没有采用传统的密码重置或钓鱼手段,而是利用邮箱访问权限横向渗透至受害者的Claude账户,并将”个人偏好”字段识别为理想的攻击面——这个用户可编辑的提示词会同步到账户关联的所有设备和会话中。
Part01
Claude桌面版远程代码执行漏洞
研究人员通过向这个同步字段注入经过编码的非明显提示词,使得受害者在下次打开应用时,Claude桌面版会静默执行攻击者控制的指令,且不会触发重新认证或可见警告。攻击载荷指示Claude枚举已安装的具备命令执行能力的扩展程序(如Desktop Commander MCP工具),并通过它们执行攻击者提供的命令。
如果已存在具备命令执行能力的扩展程序,Claude会在常规聊天过程中自动执行恶意指令,无需受害者进行任何额外操作。若不存在此类扩展,Claude本身就会成为社会工程攻击媒介:它会显示一个逼真的虚假错误信息,敦促用户安装Desktop Commander,并附带一个看似合法的安装页面。一旦安装完成,受害者发送的下一条普通消息就会触发代码执行,从而将这个受信任的助手变成持久的命令控制通道,能够获取并执行攻击者轮换的命令。
Part02
相关漏洞研究
独立研究揭示了Claude扩展生态系统的相关弱点。LayerX此前披露了一个影响Claude桌面扩展(DXT)的零点击RCE漏洞,可通过恶意构造的日历事件触发,该漏洞获得了CVSS 10分的评分。Koi Security同样在Anthropic自家的Chrome、iMessage和Apple Notes连接器中发现了未净化的命令注入缺陷,这些漏洞被评为CVSS 8.9分,现已被修复。这些发现共同指向一个系统性模式:本地代码执行扩展与自然语言信任相结合,创造了广泛的攻击面。
Part03
厂商回应与安全建议
Pentera于2025年11月向Anthropic报告了其发现。Anthropic承认了这项研究,但拒绝将其归类为安全漏洞,称”个人偏好、skills和MCP连接器”的设计初衷就是通过Claude桌面版执行代码,并将此行为称为”预期功能而非安全漏洞”。该公司表示相关防护措施已列入路线图,并指出现有的会话管理和账户认证控制可作为缓解措施,同时强调该攻击需要事先获得账户访问权限。
安全团队应将AI桌面应用程序视为能够执行代码和访问本地文件的特权软件,监控同步助手设置的未授权更改,并限制可与AI客户端配对的扩展程序。随着AI助手模糊了聊天界面与系统Agent之间的界限,其感知能力与实际能力之间的差距正成为一种独特且目前监控不足的企业风险。
参考来源:
AI Double Agent Attack Turns Claude Desktop to Execute Remote Code on a Target Machine
AI Double Agent Attack Turns Claude Desktop to Execute Remote Code on a Target Machine
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《AI双Agent攻击:利用Claude桌面版在目标机器上执行远程代码》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论