Anthropic के Claude डेस्कटॉप ऐप में 'PromptFiction' नामक एक बड़ी खामी का पता चला है, जो बिना यूजर की अनुमति के दुर्भावनापूर्ण निर्देश भेज सकती थी।

मुख्य बिंदु (Key Takeaways)

  • Anthropic के Claude डेस्कटॉप ऐप में 'PromptFiction' नामक गंभीर भेद्यता (vulnerability) पाई गई।
  • एक साधारण लिंक पर क्लिक करने से हमलावर बिना यूजर की जानकारी के AI को कमांड दे सकते थे।
  • इस खामी का उपयोग निजी डेटा चोरी करने और सिस्टम पर रिमोट कोड चलाने के लिए किया जा सकता था।
  • Anthropic ने इस समस्या को संस्करण 1.1.2321 में सफलतापूर्वक ठीक कर दिया है।

आर्टिफिशियल इंटेलिजेंस (AI) की दुनिया में सुरक्षा को लेकर एक बड़ी चेतावनी सामने आई है। शोधकर्ताओं ने Anthropic के लोकप्रिय AI असिस्टेंट, Claude के डेस्कटॉप एप्लिकेशन में एक गंभीर सुरक्षा खामी की पहचान की है। इसे 'PromptFiction' नाम दिया गया है। यह खामी इतनी खतरनाक थी कि एक हमलावर केवल एक विशेष लिंक के माध्यम से यूजर की जानकारी के बिना सीधे AI एजेंट को दुर्भावनापूर्ण निर्देश (malicious prompts) भेज सकता था।

कैसे काम करता था यह हमला?

आमतौर पर, प्रॉम्प्ट इंजेक्शन हमलों में यूजर को अनजाने में 'Enter' या 'Send' बटन दबाना पड़ता है। लेकिन 'PromptFiction' ने इस सुरक्षा कवच को ही हटा दिया। शोधकर्ताओं ने पाया कि Claude डेस्कटॉप एक कस्टम URI स्कीम (claude://) का उपयोग करता है। यदि कोई यूजर किसी ईमेल, चैट या वेबसाइट पर मौजूद ऐसे ही एक तैयार लिंक पर क्लिक करता है, तो यह लिंक न केवल Claude ऐप को खोलता है, बल्कि हमलावर द्वारा लिखे गए कमांड को बिना किसी यूजर इंटरैक्शन के तुरंत सबमिट कर देता है।

डेटा चोरी और सिस्टम पर नियंत्रण का खतरा

Oasis Security के शोधकर्ताओं के अनुसार, यदि इस खामी को पहले से ज्ञात 'Claudy Day' नामक अन्य खामियों के साथ मिला दिया जाता, तो यह एक विनाशकारी हमला बन सकता था। इससे हमलावर यूजर की पिछली बातचीत (conversations) को चुपचाप चुरा सकते थे, स्थानीय फाइलों तक पहुंच प्राप्त कर सकते थे और अंततः पीड़ित के कंप्यूटर पर Remote Code Execution (RCE) के जरिए पूर्ण नियंत्रण पा सकते थे। हमलावर इस बात को छिपाने के लिए 'मैसेज फोल्डिंग' तकनीक का भी उपयोग करते थे, जिससे यूजर को केवल सामान्य टेक्स्ट दिखाई देता और असली हमला नीचे छिपा रहता था।

सुरक्षा विशेषज्ञों की राय और समाधान

साइबर सुरक्षा विशेषज्ञों का मानना है कि यह घटना दिखाती है कि कैसे AI तकनीक के विकास के साथ सुरक्षा जोखिमों की गति भी बढ़ गई है। Anthropic ने इस खतरे को गंभीरता से लेते हुए इसे अपने नवीनतम अपडेट में पैच कर दिया है। विशेषज्ञों ने सलाह दी है कि सभी उपयोगकर्ता सुनिश्चित करें कि वे Claude Desktop version 1.1.2321 या उससे बाद का संस्करण उपयोग कर रहे हैं।