Red Team แฮก Claude Desktop ทำให้ AI เป็นตัวแทนสองหน้า รันโค้ดระยะไกล

ที่มาภาพ: The Register

Security-อ่าน 8 นาทีThe Register

Red Team แฮก Claude Desktop ทำให้ AI เป็นตัวแทนสองหน้า รันโค้ดระยะไกล

⚡ สรุป 30 วิ

ทีม Red Team ของ Pentera Labs แฮก Claude Desktop ผ่านการเข้าถึงอีเมลและฝัง prompt ที่รันคำสั่งบนเครื่องผู้ใช้ ทำให้ AI สามารถสร้าง reverse shell…

Claude Desktop ถูกแฮกโดย Red Team ของ Pentera Labs ทำให้ AI ตัวช่วยกลายเป็น “ตัวแทนสองหน้า” สามารถสั่งให้เครื่องของผู้ใช้ทำการรันโค้ดระยะไกลได้ การทดลองนี้แสดงให้เห็นถึงความเสี่ยงที่องค์กรอาจเผชิญเมื่อใช้เครื่องมือ AI ที่มีความสามารถในการเชื่อมต่อและดำเนินการบนเครื่องของผู้ใช้โดยตรง

Overview

ทีม Red Team ของ Pentera Labs พบช่องโหว่ที่ทำให้สามารถเข้าถึงบัญชี Claude Desktop ของนักพัฒนาซอฟต์แวร์ผ่านการแฮกกล่องจดหมายอีเมลของผู้ใช้ได้ การโจมตีเริ่มต้นด้วยการครอบครองกล่องจดหมายแล้วใช้การซิงค์ของแอปพลิเคชันเพื่อส่งคำสั่งที่ฝังอยู่ใน personalization settings ไปยังอุปกรณ์ทุกเครื่องที่ผู้ใช้เชื่อมต่ออยู่

จากนั้น AI ตัวช่วยได้ทำการรันคำสั่งบนเครื่องเป้าหมายโดยที่ผู้ใช้ไม่สังเกตเห็น การควบคุมนี้ทำให้ผู้โจมตีสามารถสร้าง reverse shell หรือช่องสั่งการระยะไกลอื่น ๆ ได้อย่างลับ ๆ “โดยไม่มีการตรวจสอบจากผู้ใช้” ตามที่ Dvir Avraham หัวหน้าทีมบริการความปลอดภัยเชิงรุกของ Pentera Labs กล่าว

Attack Chain

ขั้นตอนการโจมตีประกอบด้วยหลายส่วนที่ต้องอาศัยเงื่อนไขพื้นฐานสองประการคือ (1) การเข้าถึงกล่องจดหมายอีเมลของผู้ใช้และ (2) การติดตั้ง Claude Desktop บนเครื่องของผู้ใช้

  • การเข้าถึงอีเมล – สามารถทำได้ผ่านแพลตฟอร์มจัดการอีเมลของบุคคลที่สาม การฟิชชิง ลิงก์โซเชียลเอนจิเนียริ่ง หรือการรีเซ็ตรหัสผ่าน
  • การติดตั้ง Claude Desktop – รองรับ macOS, Windows และ Linux พร้อมฟีเจอร์ Cowork และ Claude Code ที่ให้ AI ควบคุมงานบนเครื่องได้โดยตรง

เมื่อเงื่อนไขเหล่านี้ครบถ้วน ทีม Red Team จะฝัง prompt ที่เข้ารหัสแบบ base64 ลงในส่วน “personal preferences” ของ Claude การซิงค์ทำให้คำสั่งนี้กระจายไปยังอุปกรณ์ทั้งหมดของผู้ใช้โดยอัตโนมัติ

Claude Desktop Features

Claude Desktop ของ Anthropic เป็นแอปที่ให้บริการแชท AI คล้ายกับ claude.ai แต่เพิ่มความสามารถในการทำงานบนเครื่องของผู้ใช้โดยตรง ฟีเจอร์สำคัญ ได้แก่

  • Cowork – ให้ AI สามารถทำงานแบบอัตโนมัติยาว ๆ เช่น การเปิดแอป เติมข้อมูลในสเปรดชีต หรือการท่องเว็บโดยไม่ต้องใช้รหัสผ่าน
  • Claude Code – รองรับการเขียนโค้ดและทำการดีบักบนเครื่องของผู้ใช้
  • ระบบ sync – ทำให้การตั้งค่าผู้ใช้และข้อมูลการสนทนาถูกซิงค์ระหว่างอุปกรณ์ทั้งหมดที่ล็อกอินด้วยบัญชีเดียวกัน

ฟีเจอร์เหล่านี้ทำให้ AI สามารถเข้าถึง MCP connectors หรือส่วนเสริมเช่น Desktop Commander เพื่อสั่งการระบบได้โดยไม่ต้องผ่านการตรวจสอบของผู้ใช้

Exploitation Mechanics

ทีมวิจัยได้สร้าง prompt ที่ตรวจสอบว่ามีเครื่องมือที่สามารถรันคำสั่งบนเครื่องเป้าหมายหรือไม่ หากพบเครื่องมือดังกล่าว AI จะสั่งให้รันคำสั่งนั้นทันที หากไม่มีเครื่องมือที่รองรับ ระบบจะส่ง “ข้อผิดพลาดปลอม” พร้อมลิงก์ดาวน์โหลดซอฟต์แวร์ที่ควบคุมโดยผู้โจมตี

Prompt นี้ถูกวางไว้ในส่วน “personal preferences” ของ Claude ซึ่งจะถูกซิงค์อัตโนมัติไปยังอุปกรณ์ทั้งหมด เมื่อผู้ใช้เปิด Claude Desktop แล้วพิมพ์ข้อความใด ๆ AI จะเรียกใช้ Prompt ที่ฝังไว้โดยอัตโนมัติ การกระทำนี้ทำให้ผู้ใช้ไม่เห็นการตรวจสอบใด ๆ และทำให้ผู้โจมตีสามารถทำสิ่งต่อไปได้เช่น

  • สร้าง reverse shell เพื่อควบคุมเครื่องจากระยะไกล
  • ดึงข้อมูลสำคัญออกจากระบบ (data exfiltration)
  • เก็บรหัสผ่านหรือข้อมูลรับรองอื่น ๆ

ในกรณีศึกษานี้ ผู้โจมตีได้ทำให้ Claude ส่งคำสั่ง `curl` ไปยังเซิร์ฟเวอร์ของตนทุกครั้งที่มีการสนทนา ทำให้สามารถเปลี่ยนแปลงหรือเพิ่มสคริปต์บนเครื่องเป้าหมายได้อย่างต่อเนื่อง

Security Implications

การทดลองนี้ชี้ให้เห็นว่าความเชื่อมั่นที่ผู้ใช้มีต่อ AI ตัวช่วยอาจเป็นจุดอ่อนใหม่ในระบบความปลอดภัยขององค์กร ผู้ใช้หลายคนอาจมองว่า AI เป็น “ผู้ช่วยที่ปลอดภัย” จึงไม่ตรวจสอบคำสั่งหรือการตอบสนองใด ๆ อย่างละเอียด

ตามรายงานของ Pentera Labs การใช้ AI ที่มี local code‑execution โดยไม่มีการควบคุมการเข้าถึงที่เข้มงวดอาจทำให้เกิดสถานการณ์ “phishing layer” ที่ไม่ต้องอาศัยอีเมลหรือเว็บไซต์หลอกลวง ผู้โจมตีสามารถใช้ AI เป็นช่องทางในการส่งมอบซอฟต์แวร์ที่เป็นอันตรายได้โดยตรง

ผลกระทบต่อองค์กรที่ให้พนักงานใช้ Claude Desktop หรือเครื่องมือ AI ที่คล้ายกันอาจรวมถึง

  • การสูญเสียข้อมูลสำคัญหรือความลับขององค์กร
  • การเปิดช่องทางให้ผู้ไม่ประสงค์ดีเข้าถึงระบบภายในได้ง่ายขึ้น
  • ความเสี่ยงต่อการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Mitigation Recommendations

แม้ว่าผู้วิจัยจะบอกว่า “เราต้องตรวจสอบคำสั่งทุกครั้งสองครั้ง” แต่การปฏิบัติงานจริงควรมีขั้นตอนต่อไปนี้เพื่อบรรเทาความเสี่ยง

  • จำกัดการใช้งาน AI ที่มีความสามารถในการรันโค้ด บนเครื่องที่สำคัญ หรือแยกอุปกรณ์ที่ใช้ AI ออกจากระบบที่มีข้อมูลสำคัญ
  • ตรวจสอบและควบคุม MCP connectors หรือส่วนเสริมเช่น Desktop Commander ให้มีเพียงผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งได้
  • เปิดใช้ การตรวจสอบการซิงค์ของการตั้งค่าผู้ใช้ เพื่อให้มีการบันทึกและตรวจสอบการเปลี่ยนแปลงที่ไม่คาดคิดใน personalization settings
  • ให้การฝึกอบรมผู้ใช้เรื่องความเสี่ยงของการเชื่อถือ AI อย่างไม่มีการตรวจสอบ โดยเฉพาะเมื่อต้องคลิกลิงก์หรือดาวน์โหลดไฟล์ที่มาจากข้อความของ AI

Summary

การโจมตีผ่าน Claude Desktop ของ Pentera Labs แสดงให้เห็นว่าการใช้ AI ตัวช่วยที่มีความสามารถในการดำเนินการบนเครื่องโดยตรงอาจกลายเป็นช่องทางการโจมตีใหม่ที่ซับซ้อนและยากต่อการตรวจจับ การควบคุมการเข้าถึงและการตรวจสอบการตั้งค่าผู้ใช้เป็นขั้นตอนสำคัญในการป้องกันความเสี่ยงนี้.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Red teamers turned Claude Desktop into a double agent to do their evil bidding
ผู้เขียน
Unknown
แหล่ง
The Register
วันที่เผยแพร่
2 กรกฎาคม 2569 เวลา 00:00

Related

บทความที่เกี่ยวข้อง

Qihoo 360 เปิดตัว AI ตรวจจับบั๊ก “Tulongfeng” แซง Mythos ของ AnthropicSecurity
-

Qihoo 360 เปิดตัว AI ตรวจจับบั๊ก “Tulongfeng” แซง Mythos ของ Anthropic

บริษัทความปลอดภัยไซเบอร์จีน Qihoo 360 เปิดเผยระบบ AI ชื่อ Tulongfeng ซึ่งอ้างว่าสามารถสแกนและยืนยันช่องโหว่ได้ดีกว่าโมเดล Mythos ของ Anthropic…

The Register6 นาที
SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาดSecurity
1 กรกฎาคม 2569 เวลา 23:00

SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาด

Microsoft รวม SysMon ของ Sysinternals เข้าใน Windows 11 ฟรี ผู้ใช้เปิดใช้งานผ่าน PowerShell เพื่อบันทึกเหตุการณ์เช่น การสร้างโปรเซส การเชื่อมต่อเครือข่าย…

XDA Developers7 นาที
เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ดSecurity
1 กรกฎาคม 2569 เวลา 14:00

เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ด

นักวิจัยเผย PoC สาธารณะสำหรับช่องโหว่ CVE‑2026‑55200 บน libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการทำลายหน่วยความจำและรันโค้ดโดยไม่ต้องยืนยันตัวตน…

The Hacker News6 นาที
Norton VPN เปิดฟีเจอร์ Split Tunneling บน macOS ให้ผู้ใช้ Mac ยืดหยุ่นเท่า WindowsSecurity
29 มิถุนายน 2569 เวลา 02:00

Norton VPN เปิดฟีเจอร์ Split Tunneling บน macOS ให้ผู้ใช้ Mac ยืดหยุ่นเท่า Windows

Norton VPN เพิ่มฟีเจอร์ split tunneling บน macOS ทำให้ผู้ใช้ Mac สามารถเลือกแอปหรือเว็บไซต์ที่ต้องการส่งผ่าน VPN ได้เอง เพิ่มความเร็วและหลีกเลี่ยงการบล็อก…

TechRadar6 นาที
คัดลอกลิงก์แล้ว!