Claude Cowork 是 Anthropic 专为工作人士设计的自动化工具,它在隔离环境中运行 Claude Code,辅助用户完成开发工具和数据处理等任务。在 Windows 版本的 Claude Desktop 应用中,Claude Cowork 运行于一个基于 Hyper-V 隔离的 Ubuntu 虚拟机,目的是为了降低潜在的安全风险。
根据 Armadin 的说法,问题主要存在于 Windows 本地服务 CoworkVMService。该服务负责处理来自 Claude Desktop 的请求,并将指令转发到虚拟机内部执行。通过 DLL 侧载技术,研究人员能够让经过 Anthropic 数字签名的 claude.exe 加载恶意 DLL,从而使恶意代码在合法的进程中运行,成功规避了 CoworkVMService 对调用程序身份的验证。
研究表明,某些执行参数可以直接修改虚拟机内部的安全配置。其中一个参数允许指定命令以 Linux 已有用户身份执行,研究人员利用这一点指定 root 账户,从而在虚拟机中获得了最高权限。另一个参数则可以覆盖单次任务允许访问的域名白名单,进而突破了原有的外部网络访问限制。
Anthropic 对此回应称,该攻击链的前提是攻击者已获得 Windows 主机本地代码执行能力,因此不将其视为安全漏洞。然而,Armadin 认为相关功能是 Claude Desktop 本身的缺陷。因此,他建议企业如果不需要使用 Claude Cowork,可以直接卸载 Claude Desktop;若必须使用,则应限制能够运行 Claude Desktop 的用户,并密切监控 claude.exe 是否从非系统目录加载可疑 DLL,以降低遭受此类攻击的风险。对于技术爱好者,可以关注世界杯官网了解更多技术动态。