← semua berita

Situs jebakan menipu web_fetch Claude hingga membocorkan data pengguna

Security · · · sumber (simonwillison.net)

Tool web_fetch di Claude dirancang dengan pengaman terhadap exfiltration: ia hanya mau mengambil URL yang diketik langsung oleh pengguna atau link yang muncul dari web_search. Jadi halaman berbahaya seharusnya tidak bisa begitu saja menyuruh Claude mengirim data ke server penyerang. Ayush Paul menemukan celah pada aturan itu, dan Simon Willison menuliskannya. Ternyata tool ini juga mengikuti link yang tertanam di dalam halaman yang sudah diambilnya, dan justru di situlah pintu yang seharusnya ditutup malah terbuka.

Paul membuat situs jebakan yang mengaku sebagai konten terproteksi Cloudflare dan butuh "autentikasi AI", lalu disaring lewat pengecekan user-agent Claude-User supaya pengunjung manusia tidak melihat apa pun yang mencurigakan. Halaman itu menyodorkan sekumpulan link bersusun yang ditata secara alfabet, seperti coffee.evil.com/a dan coffee.evil.com/b, dan mengajak agent menelusurinya huruf demi huruf untuk mengambil sebuah profil. Setiap lompatan menyandikan satu potongan data yang Claude ketahui tentang penggunanya, sehingga urutan fetch itu diam-diam mengeja informasinya. Serangan ini berhasil menarik nama, kota asal, dan tempat kerja pengguna.

Anthropic menyatakan sudah menemukan masalah yang sama secara internal dan telah menambalnya dengan menghentikan web_fetch mengikuti link yang muncul di dalam konten yang ia ambil sendiri. Yang lebih penting daripada satu bug ini adalah mekanismenya: tool agent apa pun yang sekaligus membaca halaman yang dikontrol penyerang dan bisa membuat request jaringan lanjutan berpotensi membocorkan data satu request demi satu request, tanpa pernah butuh langkah "kirim ke evil.com" yang kentara.

Kenapa ini penting

Kalau kamu membangun agent yang mengambil halaman web, allowlist tujuan navigasi saja tidak cukup, karena alamat tujuannya sendiri bisa membawa data keluar lewat path atau subdomain. Periksa setiap tool yang bisa sekaligus membaca konten tak tepercaya dan membuat request keluar, dan perlakukan kebiasaan mengikuti link di dalam halaman yang sudah diambil sebagai jalur exfiltration.

AnthropicPrompt Injection