首页 / 资讯 / 行业动态 / AI双Agent攻击曝光:Claude桌面端遭劫持,静默实现远程代码执行

AI双Agent攻击曝光:Claude桌面端遭劫持,静默实现远程代码执行

时间:2026-07-09 12:30:23 来源:51DNS.COM
分享:

2026年7月8日,FreeBuf发布安全研究文章,Pentera实验室披露新型AI双Agent攻击,攻击者可把用户本地Claude桌面版转化为后门工具,无需恶意软件、钓鱼链接,仅依靠账户权限与提示词注入,静默完成远程代码执行,实现设备持久控制。

不同于传统终端入侵,该攻击依托AnthropicClaudeDesktop原生功能实现,隐蔽性极强,面向开发者、企业办公群体形成重大数据泄露风险。此前行业已曝出多款Claude系列高危漏洞,包括LayerX发现CVSS满分零点击RCE、KoiSecurity披露连接器命令注入缺陷,本次双Agent攻击进一步暴露AI桌面应用普遍存在的设计安全短板。

 桌面端劫持

一、攻击完整链路:利用账户偏好同步注入恶意提示词

攻击前置条件仅为攻击者获取受害者邮箱、Claude账户访问权限,整体流程分为四步。

第一步,攻击者入侵受害者邮箱后横向渗透Claude账号,锁定个人偏好同步字段作为核心攻击面,该字段修改后会自动同步至该账号所有登录设备。

第二步,注入加密隐藏恶意提示词载荷,用户打开Claude桌面客户端时,程序自动读取同步配置,无弹窗、无警告触发恶意逻辑。

第三步,载荷自动检索DesktopCommander等具备系统命令权限的MCP扩展。若扩展已安装,AI直接执行攻击者下发指令;若无扩展,Claude弹出高仿报错页面,诱导用户安装恶意工具。

第四步,用户完成扩展安装后,任意日常对话都会触发反向Shell、文件读取、数据外传等操作,攻击者长期持有设备控制权,全程用户无感知。

 
二、攻击危害:企业设备数据全面暴露

一旦攻击成功,攻击者依托Claude的本地操作权限完成多类高危操作:遍历本地项目代码、读取.env密钥配置文件、窃取企业商业文档、建立持久远程控制通道,持续回传敏感数据。

该攻击覆盖办公、开发全场景,开发者本地源代码、数据库凭证、客户资料极易外泄;普通办公用户通讯录、云端文件、聊天记录存在被盗风险。同时攻击依托官方AI客户端执行,杀毒软件、终端EDR难以识别拦截,传统安全防护手段失效。

 
三、厂商回应与行业同类漏洞汇总

Pentera早在2025年11月向Anthropic上报该攻击风险,但厂商并未将其定义为安全漏洞,称偏好、MCP连接器、代码执行属于产品预期功能,仅表示防护方案纳入更新路线,并提示依托账号认证、会话管理降低风险。

业内多款Claude相关高危漏洞印证系统性风险:LayerX发现日历事件触发零点击RCE,CVSS评分10分;KoiSecurity在Chrome、AppleNotes连接器发现命令注入,CVSS8.9分。核心根源是AIAgent打通聊天界面与系统底层权限,权限管控、输入校验机制缺失。

 

四、企业与个人AI终端安全防护方案

1、权限管控:严格限制Claude、Cursor等AI客户端MCP扩展安装权限,非开发场景禁用命令执行类工具。

2、账户巡检:定期核查AI账号偏好设置、同步配置,监测未授权修改记录。

3、账号安全:企业邮箱开启多因素认证,杜绝邮箱被盗后横向渗透AI账户。

4、终端监控:将AI客户端纳入终端安全审计,拦截异常文件读取、外网外联行为。

5、版本管理:及时更新Claude桌面客户端,跟进官方安全优化补丁。

 

AI双Agent攻击标志网络黑灰产已全面转向AI工具产业链。AI桌面助手兼具自然语言交互与本地系统权限,天然形成新型攻击面。企业不能仅看重AI提效能力,必须补齐终端管控、账号同步、扩展权限三重安全防线,平衡AI便捷性与本地设备数据安全,抵御提示词注入、Agent劫持类新型AI攻击。

关键词:

在线咨询

联系我们