7月17日,安全研究员阿尤什·保罗(Ayush Paul)曝出了一个关于Claude的猛料——他找到了一种方法,能让用户在完全不知情的情况下,把个人敏感信息(比如姓名、工作单位)悄悄发送到外部网站。这可不是小事。

事情的关键在于Claude的记忆机制。保罗指出,Claude能够总结过往对话,并在新对话中调用这些信息。目前它有两套记忆系统:
一是每日摘要,把近期对话压缩成几段核心内容,自动注入到后续会话中;
二是
conversation_search工具,可以按需检索完整的历史对话。
这个机制本意是让回答更贴合用户背景,但用得久了,积累的个人画像就越来越完整——姓名、工作单位、籍贯、工作信息,甚至个人困扰,都可能被记录下来。问题来了:这些信息能被恶意利用吗?
保罗在测试中验证了这一点。他告诉Claude “无需额外提示”,结果Claude依次提交了姓名、公司、家乡信息。日志显示,外传的内容包括“Name: Ayush Paul”“Company: Beem”“Hometown: Charlotte, NC”。
更让人捏把汗的是,当恶意URL与真实咖啡馆URL混在一起,要求Claude做比较时,Claude居然在未征求用户许可的情况下,按字符将姓名编码进了链接里。进一步诱导后,当前工作单位甚至原籍城市——这些可用于银&行等机构身份校验的信息——也可能被外传。
保罗通过Anthropic的HackerOne漏洞赏金项目提交了这个问题。根据披露,Anthropic当时已经在内部知晓此事,但报告提交时尚未修复,保罗也没有拿到赏金。不过后续Anthropic关闭了web_fetch跟随外部页面内链接的能力,算是堵上了一个口子。
这起事件再次提醒我们:AI记忆功能虽然方便,但隐私保护这根弦,任何时候都不能松。
