Anthropic 面向专业人士推出的 Claude Cowork 自动化工具,旨在提供一个安全隔离的环境来运行 Claude Code,以便用户能够更有效地处理数据和开发工具。在 Windows 版本的 Claude Desktop 应用中,Claude Cowork 依赖于 Hyper-V 隔离的 Ubuntu 虚拟机来运行,以此来最小化潜在的安全风险。
安全研究员 Armadin 指出,问题主要存在于 Windows 本地服务 CoworkVMService。这个服务负责接收 Claude Desktop 的指令,并将其转发到虚拟机内部执行。通过 DLL 侧载技术,研究人员发现能够让经过 Anthropic 数字签名的 claude.exe 加载恶意 DLL,从而使恶意代码在合法进程中运行,进而绕过 CoworkVMService 对调用程序身份的验证。
研究发现,部分执行参数能够直接更改虚拟机内部的安全设置。其中一个参数允许指定命令以 Linux 的现有用户身份执行,研究人员利用这一点指定了 root 用户,从而在虚拟机中获得了最高权限。另一个参数则可以覆盖单次任务允许访问的域名白名单,以此突破原有的外部网络访问限制。
研究人员进一步解释,结合这两项操作,攻击者在获得虚拟机 root 权限后,便能够访问同一虚拟机内的运行进程以及工作会话数据,并且能够绕过网络访问限制,将敏感信息发送到攻击者控制的外部服务器。这就像在进行世界杯下注时,如果存在漏洞,信息就可能被窃取。
Anthropic 方面认为,此攻击链的实现前提是攻击者必须已经具备在 Windows 主机上执行本地代码的能力,因此不将其视为安全漏洞。然而,Armadin 认为这些功能本身是 Claude Desktop 应用的固有缺陷。因此,他建议企业如果不需要使用 Claude Cowork 功能,可以直接卸载 Claude Desktop。如果必须使用,则应限制能够运行 Claude Desktop 的用户,同时密切监控 claude.exe 是否从非系统目录加载可疑的 DLL 文件,以降低遭受此类攻击的风险。