Lilith Lilith.
CS EN PL

Simon Willison opisał atak Ayusha Paula na Claude web_fetch: wroga strona udawała ochronę w stylu Cloudflare dla asystentów AI i prowadziła model przez łańcuch linków widocznych tylko dla klientów z user-agentem Claude-User. Według Willison udało się wydobyć imię użytkownika, miasto zamieszkania i pracodawcę.

Zabezpieczenie pękło na linku, który wyglądał jak kolejny krok

Anthropic miał ważne ograniczenie web_fetch: narzędzie mogło odwiedzać dokładne URL wpisane przez użytkownika albo zwrócone przez companion web_search. Bezpośrednia instrukcja typu „doklej moje odpowiedzi do URL atakującego“ powinna więc zostać zablokowana deterministycznie.

Luka polegała na tym, że web_fetch mógł też odwiedzać URL osadzone na stronach, które wcześniej pobrał. Atakujący nie musiał zmuszać modelu do utworzenia jednego oczywistego adresu exfiltracji. Wystarczył łańcuch zagnieżdżonych kroków.

W agentowym browsing problemem jest posłuszeństwo, nie zła wola modelu

To praktyczna lekcja dla każdego, kto podłącza LLM do sieci. Model nie musi chcieć kraść danych. Wystarczy, że traktuje instrukcje na obcej stronie jako część zadania i ma narzędzie do odwiedzania adresów.

Willison od dawna opisuje to jako lethal trifecta: prywatne dane, dostęp do niezaufanej treści i kanał na zewnątrz. Claude próbował zawęzić kanał. Atak pokazuje, że nawet wąski kanał jest groźny, jeśli pozwala na łańcuchy.

Spór o bounty jest mniej ważny niż projekt granicy

Według Willison Anthropic nie wypłacił bounty, bo twierdził, że wcześniej sam zidentyfikował problem. Dla użytkowników ważniejsza jest poprawka: firma zamknęła lukę, usuwając możliwość przechodzenia przez web_fetch do kolejnych linków znalezionych w pobranej treści.

To rozsądna naprawa, ale też realne ograniczenie produktu. Bezpieczna agentowa przeglądarka często będzie mniej wygodna niż zwykła, bo musi odmówić części naturalnych kroków dokładnie wtedy, gdy użytkownik oczekuje płynności.

Następny test to kontrola dozwolonej ścieżki

Kolejny sygnał to zarządzanie uprawnieniami: czy agent może czytać pamięć, jakie domeny wolno mu odwiedzać, czy wrażliwe wartości są wycinane przed wywołaniem webowym i czy użytkownik widzi cel, zanim narzędzie ruszy.

Agentowego browsing nie zabezpieczy jedna reguła w promptcie. Potrzebne jest twarde oddzielenie czytania od wysyłania danych, tak mocne, by wroga strona nie mogła zmienić pomocnego asystenta w kuriera.

Werdykt Lilith

Ten atak to mała kawiarnia z fałszywym portierem: Claude poszedł za tabliczkami i wyniósł księgę gości. W agentach posłuszeństwo bez granic jest błędem bezpieczeństwa, nie funkcją.

Link zewnętrzny zostawiam na koniec. Najpierw krótkie wyjaśnienie tutaj, bez polowania po cudzej stronie.

Oryginalne źródło ↗