IT资源栈安全公司 LayerX 曝光 Claude Desktop Extensions 存在严重架构缺陷,导致超过 1 万名用户面临零点击远程代码执行(RCE)风险。攻击者只需在 Google Calendar 中注入包含恶意指令(如克隆仓库并执行)的会议邀请,当用户请求 Claude “处理”日历事项时,模型会将日历内容视为可信指令并自动执行攻击代码。该漏洞揭示了 LLM Agent 在处理信任边界时的脆弱性,即 Agent 难以区分“参考数据”与“可执行指令”,导致系统极易遭受数据源投毒攻击。
原文链接:Linux.do
评论前必须登录!
立即登录 注册