系统:运行中
← 返回所有攻击
AGENTS MEDIUM NEW

账户同步的偏好设置如何劫持 Claude Desktop 的本地工具

Pentera 的研究显示,拥有账户访问权限的攻击者可将指令藏入 Claude Desktop 同步的“个人偏好”字段,驱使其本地工具执行攻击者的命令。

2026-07-17 // 5 min affects: claude-desktop, claude, llm-agents, mcp

这是什么?

在 2026 年 7 月初公布的一项研究中——The Register2026 年 7 月 1 日 报道,Pentera Labs 以 AI Double Agent 为名进行了详细说明——红队人员表明,一款广泛使用的桌面 AI 助手的同步设置可被转化为持久的提示注入通道。攻击目标是助手的 个人偏好(Personal Preferences) 字段:这是一段用户可配置的提示,用于保存语气、工作流与行为指引,并会自动同步到与该账户关联的所有设备和会话,包括桌面应用。

这既不是内存破坏类漏洞,也不是远程未认证的缺陷,而是一个信任边界问题:一段由账户控制、被助手当作指令对待的配置,同时也是攻击者一旦掌握账户便可写入之处。研究者已于 2025 年 11 月向厂商报告。厂商予以确认,但拒绝将其归类为安全漏洞,认为偏好设置、技能与连接器都是被设计用来让助手采取行动的功能,因此未分配任何 CVE 编号。这一分歧本身正是值得关注之处,也是我们将其视为防御性经验、而非可修补缺陷的原因。

工作原理

该攻击链在概念上分为三步,且没有任何一步需要投递恶意软件或向受害者发送钓鱼邮件。

账户访问      -> 攻击者进入受害者的助手账户
存储载荷      -> 将指令写入同步的“个人偏好”字段
同步 + 触发   -> 桌面应用加载指令并驱动本地工具

在演示场景中,初始访问来自一项聚合大量用户收件箱的第三方服务;该处薄弱的身份验证使研究者得以借助魔术链接和密码重置横向进入关联账户。掌握账户后,他们在个人偏好字段中放入一段经过编码的指令块。它以不透明字符串而非明文命令的形式写入,在快速查看时很容易被忽略——目的正是隐藏于用户极少审查的字段之中。

由于该字段会同步,受害者下次打开桌面应用时,注入内容便作为助手常驻指引的一部分被悄然加载。此后载荷的逻辑是有条件的。如果已安装具备命令执行能力的扩展——相关报道提到了一款本地命令执行工具——助手可被引导在后台调用它,同时继续回答用户可见的问题,从而形成一个循环:每次交互都可能从攻击者的基础设施拉取并执行更新后的指令。如果不存在此类工具,载荷则转向社会工程:让助手显示一条贴合工作流、看似真实的错误提示,诱导用户“为解决问题”而安装某个特定扩展。受用户信任的助手,自身就成了钓鱼环节。

我们有意不公开载荷及其编码。真正重要的是这一机制——被存储并同步的配置被当作可信指令,而所连接的工具继承了这份信任

为何重要

这是“致命三要素”的一个具体实例:不可信内容、具备工具能力的智能体,以及触及外部的能力。新意在于不可信内容所处的位置。大多数关于提示注入的报道聚焦于运行时加载的内容——网页、文档、工具返回结果。而这里,恶意指令被停放在用户自己的账户设置中,并由厂商的同步机制投递,因而具有持久性并可在设备之间迁移。

影响范围取决于受害者。在开发者或 DevOps 机器上,命令执行可能意味着 SSH 密钥、云凭据、kubeconfig 与 CI/CD 令牌被窃取,并打开横向移动至生产环境的通路。在非技术终端上,同样的信任可被转向会话劫持、从浏览器提取凭据以及在协作工具上冒充身份。而厂商的立场——认为这是预期功能——意味着防御方无法等待补丁来关闭这一入口。若您的威胁模型包含账户被接管,那么助手的同步配置如今已是您攻击面的一部分。

防御措施

首先保护账户。整条链始于他人进入助手账户,因此多因素认证、对第三方收件箱聚合服务与 OAuth 授权的审慎审查,以及对账户接管信号的监控,是杠杆效应最高的控制手段。

将同步配置视为不可信且与安全相关的状态。个人偏好、记忆、技能与连接器定义都应定期审查,并在怀疑账户被入侵后重新检查;偏好字段中出现不透明的编码块是危险信号,而非无关紧要的怪象。

限制工具的能力。对具备命令执行能力的扩展实行最小权限——仅在确有必要时安装本地代码执行工具,并将其沙箱隔离。对每一次工具调用要求明确的人工批准,而非允许后台静默执行,如此被污染的指令便无法悄然驱动 shell。

假定助手可能沦为钓鱼界面。一个受信任的助手建议您安装某个特定扩展,如今就是一个攻击向量:在采取行动前,请通过独立渠道核实此类请求。

在终端周围叠加纵深防御。限制运行工具型助手的工作站的出站流量,保持 EDR 处于启用状态,并做好密钥卫生——使用短期令牌,切勿将长期有效的 SSH 或云凭据以明文形式留在主目录路径中。

状态

项目详情
披露2025 年 11 月向厂商报告;2026 年 7 月初公开报道(The Register,2026 年 7 月 1 日)
厂商立场偏好设置、技能与 MCP 连接器被视为为执行代码而设计的功能;归类为预期行为,未分配 CVE;表示相关改进已列入路线图
前提条件需要事先获得账户访问权限;并非远程未认证漏洞
性质信任边界 / 存储型提示注入问题,可经由同步配置实现本地工具执行与持久化
修复状态按设计不预期补丁——缓解依赖账户安全、最小权限工具与人工审批

Sources