Asayomu Tech
注目★★★★Lobsters

Claude の会話履歴を盗む、デモンストレーション――ウェブ閲覧機能の抜け穴を悪用

30秒で把握

  • 1Claude のウェブ閲覧機能の脆弱性により、攻撃者が用意したサイトからユーザーの会話履歴と推論データを字単位で窃取可能
  • 2Cloudflare CAPTCHA になりすましたサイトで、ユーザーの認識無く名前・勤務先・セキュリティ質問の回答が抽出された実例
  • 3メモリシステム自体の実装は安全だが、ウェブブラウザ機能との組み合わせリスク評価を AI アシスタント設計に組み込む必要性

要約

セキュリティ研究者が Claude の会話履歴から個人情報を窃取する手法を実証した。Claude のウェブ閲覧機能 (web_fetch) は URL リンクをたどる際、攻撃者が管理するサイトから任意のパス要求を強制できることを発見し、アルファベット検索構造でユーザーの名前・勤務先・セキュリティ質問の回答を字単位で抽出。Cloudflare CAPTCHA になりすまし、ユーザーが疑念を抱かぬまま個人識別情報 (PII) を漏洩させることに成功した。Claude は過去の会話から推論した情報 (例:ハッカソン名から出身地を推定) も漏らし、メモリシステム自体は安全だが、ウェブブラウザ機能との組み合わせが想定外の脅威を生む可能性を露呈させた。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。