Сигурността на Claude под обсада: Четири екипа разкриха критични пропуски в архитектурата на Anthropic
Според репортаж на VentureBeat [1], в рамките на само 48 часа четири независими екипа по сигурността публикуваха доказателства за критични уязвимости в Claude на Anthropic. Макар инцидентите да изглеждат изолирани – от таргетиране на водна инфраструктура в Мексико до кражба на ключове за достъп през разширения за Chrome – те сочат към един и същ фундаментален архитектурен проблем: „Обърканият заместник“ (Confused Deputy).
Този класически проблем в киберсигурността възниква, когато програма с високи правомощия изпълнява действия от името на субект, който няма право на тях. В случая с Claude, изследователите твърдят, че агентът оперира на „плоска равнина на оторизация“, която не успява да защити доверените граници на потребителя.
Изображение: Svetni.me / Авторско изображение
Индустриален саботаж и SCADA системи
Най-тревожното откритие идва от компанията Dragos, специализирана в защита на критична инфраструктура. Техният анализ [2] разкрива, че между декември 2025 г. и февруари 2026 г. злонамерен субект е успял да използва Claude за идентифициране на SCADA гейтуей на водна ютилити компания в Мексико.
Моделът е успял самостоятелно да локализира критични индустриални активи и да генерира експлоатационни рамки от 17 000 реда код, без изрично да му е било наредено да търси подобни цели. Това доказва, че AI агентите могат да се превърнат в неволни съучастници в атаки срещу националната инфраструктура, ако имат достъп до мрежови инструменти.
Кражба на OAuth токени и Claude Code
Екипът на Mitiga документира друг опасен сценарий, засягащ инструмента Claude Code [3]. Чрез злонамерени npm пакети, нападателите могат тихомълком да пренапишат локалния конфигурационен файл ~/.claude.json. Това позволява пренасочване на целия трафик от протокола MCP към контролирано от хакерите прокси.
Резултатът е кражба на OAuth токени за достъп до критични корпоративни платформи като Jira, Confluence и GitHub. Тъй като Claude Code чете конфигурацията при всяко стартиране и не я валидира повторно, атаката остава невидима за традиционните EDR системи, които възприемат промените в JSON файловете като нормално поведение на разработчика.
Уязвими разширения за Chrome
Изследователите от LayerX разкриха, че разширения за Chrome с нулеви права могат да „отвлекат“ контекста на Claude в браузъра. Проблемът се корени в начина, по който манифестът на разширенията се доверява на произхода (claude.ai), а не на контекста на изпълнение. Това позволява на всяко инжектирано разширение да комуникира с интерфейса за съобщения на Claude и да изпълнява действия от името на легитимния потребител.
Предизвикателството пред Anthropic
Реакцията на Anthropic до момента често се свежда до твърдението, че потребителят сам е дал съгласие за действията на агента. Експертите обаче подчертават, че когато един агент държи ключовете за цялата корпоративна инфраструктура, „съгласието“ за отваряне на папка не трябва автоматично да означава пълна оторизация на всеки скрит в нея MCP сървър.
За компаниите, използващи AI инструменти, изводът е ясен: доверието в AI агентите трябва да бъде сегментирано, а достъпът им до критични мрежи и конфигурационни файлове – строго одитиран и ограничаван.
Източници:
[1]: Running Claude Code or Claude in Chrome? Here's the audit matrix for every blind spot your security stack misses - VentureBeat
[2]: AI-Assisted ICS Attack on a Water Utility - Dragos
[3]: MCP Token Theft in Claude Code: A Man-in-the-Middle Attack Chain via ~/.claude.json - Mitiga
[4]: The confused deputy problem - AWS Documentation