Simon Willison's Weblog (サイモン・ウィリソンズ・ウェブログ) は7月15日(現地時間)、大規模言語モデル (LLM) Claude (クロード) の「web_fetch (ウェブフェッチ)」ツールに、ユーザーデータ流出につながる脆弱性が発見されたと報じた。Ayush Paul (アユーシュ・ポール) 氏がこの設計上の問題を発見し、ユーザー名や居住都市、雇用主名などの抽出に成功。開発元のAnthropic (アンソロピック) はこの脆弱性を修正済みであると発表した。

Anthropic (アンソロピック) は、過去の対話履歴やオンラインコンテンツアクセスツールを悪用した、有害な指示によるデータ流出リスクを認識していた。そのため、同社はweb_fetchがユーザーが入力したURL、または「web_search」ツールから返されたURLのみにアクセスするよう限定することで、これらの攻撃を防ぐことを意図していた。

しかし、Ayush Paul (アユーシュ・ポール) 氏が発見した抜け穴は、web_fetchが以前にフェッチしたページに埋め込まれたURLへのアクセスも許可していた点にある。この特性を悪用し、攻撃者はhoneypot site (ハニーポットサイト)を作成。エージェントにネストされた生成リンクを辿らせることで、データ流出を促すことが可能となった。

実際の攻撃では、AIアシスタントに認証を促すプロンプトが提示され、Cloudflare (クラウドフレア) が保護するウェブサイトを模倣した。ユーザーエージェント (user-agent) に Claude-User (クロードユーザー) を含むクライアントのみに攻撃を表示することで、特定を困難にする工夫が凝らされていた。Ayush Paul氏は、この手法を用いてユーザーの氏名、居住都市、雇用主名の抽出に成功したと報告している。

Anthropicは、社内で既にこの脆弱性を特定していたと主張し、外部研究者からの報告に対するバグバウンティ (bug bounty) の支払いは行わなかった。同社はweb_fetchが自身でフェッチしたコンテンツ内の追加リンクへナビゲートする機能を削除することで、この抜け穴を修正した。


参考: Simon Willison’s Weblog — 2026年7月15日 23:21 (JST)

原文ハイライト

"How I tricked Claude into leaking your deepest, darkest secrets"

この記事をシェア
X はてブ LinkedIn