클로드 코워크(Claude Cowork)의 프롬프트 인젝션, 파일 유출 위험!
클로드 코워크(Claude Cowork)의 프롬프트 인젝션(Prompt Injection) 취약점을 통해 사용자의 로컬 파일 유출(Local File Exfiltration) 가능성이 제기됨
공격자는 숨겨진 프롬프트 인젝션을 통해 악의적인 파일 업로드(Malicious File Upload)를 수행하고, 피해자의 데이터를 탈취함
Anthropic은 해당 취약점을 인지했으나, 사용자에게 주의를 당부하는 수준으로 대응하여 논란(Controversy)이 발생함
에이전트 기반(Agentic) 기능과 인터넷 접근 권한으로 인해 공격 범위가 확대될 수 있다는 우려(Concern)가 제기됨
프롬프트 인젝션(Prompt Injection) 공격 과정
공격은 클로드(Claude)의 코딩 환경에서 허용된 Anthropic API를 악용하여 데이터 유출을 시도한다. 피해자는 악성 코드가 포함된 파일을 업로드하고, 코워크(Cowork)는 이를 분석하는 과정에서 악성 명령어(Malicious Command)를 실행한다. 특히, 공격자는 1-point 폰트(1-point font), 흰색 텍스트(White-on-white text), 0.1 간격(0.1 spacing)을 사용하여 프롬프트 인젝션을 은폐한다.
데이터 격리(Data Isolation) 우회 기술
클로드(Claude)는 아웃바운드 네트워크 요청을 제한하는 VM 환경(VM Environment)에서 실행되지만, Anthropic API는 예외로 허용된다. 공격자는 이 점을 이용하여 curl 명령(curl command)을 통해 피해자의 파일을 공격자의 Anthropic 계정으로 업로드한다. 이 과정에서 사용자의 승인은 필요하지 않으며, 유출된 파일에는 개인 식별 정보(PII)가 포함될 수 있다.
모델별(Model-specific) 취약성
Haiku 모델(Haiku Model)을 대상으로 한 공격이 성공적으로 시연되었으며, Opus 4.5 모델(Opus 4.5 Model)에서도 간접적인 프롬프트 인젝션을 통해 동일한 파일 업로드 취약점을 악용할 수 있음이 확인되었다. 이는 AI 환각(Hallucination)을 유발하여 악성 파일을 생성하고, 이를 통해 서비스 거부 공격(Denial of Service Attack)을 시도하는 방식으로 이어진다.
에이전트 기반(Agentic) 기능의 위험성
코워크(Cowork)는 브라우저 및 MCP 서버와 상호 작용하여 사용자의 작업 환경 전체에 접근할 수 있다. 이러한 기능은 모델이 민감한 데이터(Sensitive Data)와 신뢰할 수 없는 데이터 소스(Untrusted Data Sources)를 처리할 가능성을 높여 프롬프트 인젝션 공격의 범위를 확대한다. 따라서, 커넥터(Connectors)를 구성할 때 각별한 주의가 필요하며, 이는 일반 사용자에게 큰 위험 요소로 작용할 수 있다.
