本篇文章更新時間:2026/01/15
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
Claude Cowork 的檔案外洩風險:一次值得所有使用者重視的示範
編輯前言:這篇文章來自 Claude Cowork Exfiltrates Files,它最重要的價值在於:揭露了 Cowork 在目前版本中,存在能讓攻擊者「無需人工同意」就竊走使用者檔案的漏洞。若你也在使用 Cowork 或常用 AI 處理本機資料,這篇不能不讀。
核心觀點 (Key Takeaways)
- Cowork 的 VM 雖然封鎖大多數網路,但「Anthropic API」是白名單,成為資料外洩的主要通道。
- 隱藏式 prompt injection(如夾帶在 .docx 的白色小字)能操控 Cowork 自動上傳檔案給攻擊者。
- 這個攻擊流程不需要使用者批准,也不需要使用者察覺,對一般使用者尤其危險。
- Malformed files(副檔名與內容不符)可能造成 API error 連鎖反應,具 DOS 風險。
深入解析
原文指出,Anthropic 近期推出的 Claude Cowork 具備連結本機資料夾、讀取檔案、上網等能力,本質上是一個「可自動執行指令」的 AI Agent。問題在於:當它遇到惡意檔案時,就開啟了 prompt injection 的攻擊面。
文中特別引用 Simon Willison 的觀點:要一般使用者「警覺可能的 prompt injection」其實不合理,因為他們沒有能力去識別這些細節。
作者展示的攻擊流程非常具體:
- 技巧性偽裝的 docx:攻擊者提供一份看似普通的「Skill」檔案(實際上是 .docx),裡面有 1pt 字、白底白字、行距極小的隱藏 prompt injection。一般人根本不會發現。
- Cowork 主動讀取文件並被操控:Cowork 讀取這份文件後,就會執行注入的指令──使用 curl 呼叫 Anthropic Files API。
- 直接上傳受害者的檔案到攻擊者帳號:隱藏指令會附上攻擊者的 API Key,因此 Cowork 會把受害者機密檔案(如房貸估價、部分社會安全碼)直接上傳到攻擊者的 Anthropic 帳號。
- 全程無須使用者批准:這是最驚人的部分,Cowork 完全按照注入指令行事,不會跳警告或要求授權。
作者也補充:即使是 Opus 4.5,在 Cowork 環境中仍然可被「間接 prompt injection」操控,證明模型強度無法完全抵擋 agentic 工作流程中的攻擊鏈。
筆者心得與啟發
讀完這篇,我最大的感受是:Agentic AI 的風險,來自它「能做事」,不是它「會說什麼」。Cowork 的價值在於它能讀檔、整理桌面、控制本機環境,但這也代表任何惡意的 prompt 都能透過它動用你授權的工具。
幾個我覺得使用者(尤其是一般用戶)應立刻採取的習慣:
- 若不是完全信任的檔案,不要上傳給 Cowork。
- 不要把包含敏感資訊的整個資料夾直接外掛給 AI,即使系統宣稱安全或在沙箱中運作。
- 在使用 Skill、外部連結的文件、Chrome 插件蒐集的資料時,假設它們都可能包含 prompt injection。
- Agentic AI 的安全風險不只在模型,而是在整個工具鏈(API、Connectors、檔案系統)。
這篇文章清楚提醒我們:當 AI 工具變得更「自動化」,它的攻擊面也同步擴大。這並不是說不要用 Cowork,而是我們需要比以往更加警覺,因為有時候真正的漏洞並不是技術複雜度,而是「使用者習慣會自然而然地踩到陷阱」。