ZombAIs - De l’injection de prompt au C2 avec Claude Computer Use

• Claude Computer Use, lancé par Anthropic, est un modèle + code qui permet de contrôler un ordinateur
  • Claude peut prendre des décisions à partir de captures d’écran et effectuer des tâches comme exécuter des commandes bash
• C’est une fonctionnalité impressionnante, mais elle peut être vulnérable aux injections de prompt
  • Comme l’IA peut exécuter des commandes de manière autonome sur une machine, un détournement via injection de prompt peut entraîner des risques graves

Exécuter un malware - à quel point est-ce difficile ?

• L’objectif était de voir si Claude Computer Use pouvait, via une attaque par injection de prompt, télécharger et exécuter un malware puis se connecter à une infrastructure de Command and Control (C2)

Serveur C2

• Une infrastructure C2 a été mise en place avec Sliver, et un binaire client pour Linux a été généré
  • Silver : framework open source d’émulation adverse (red team), utilisé pour les tests de sécurité
• Une fois exécuté, ce binaire appelé implant se connecte de façon sécurisée au serveur C2, et l’ordinateur infecté devient un zombie
  • Il a été décidé d’appeler ce binaire spai-demo et l’ordinateur infecté ZombAI
• Est-il possible de pousser Claude Computer Use à se connecter à ce serveur C2 via une attaque par injection de prompt ?

Page web malveillante

• Le binaire spai-demo a été hébergé sur un serveur web afin de pouvoir être téléchargé
• L’objectif était de rédiger une charge utile d’injection de prompt qui pousse Claude à télécharger et exécuter le binaire

Explorer la page malveillante

• Claude peut ouvrir Firefox, coller une URL et naviguer sur une page web
• La page ciblée est malveillante et contient une charge utile d’injection de prompt
• La page web a réussi à amener Claude à exécuter des commandes bash

Infecter un ordinateur en une phrase

• En réalité, il est encore plus simple de demander à Claude d’utiliser Firefox pour télécharger et exécuter le malware
• Claude a été amené à cliquer sur le lien Support Tool pour télécharger le binaire
  • Claude a exécuté des commandes bash pour trouver le binaire, modifier ses permissions, puis l’exécuter
• La connexion au serveur C2 a été établie, et il a été possible de retrouver le binaire infectant depuis une session shell

Conclusion

• Cet article montre qu’en accordant à de nouveaux systèmes d’IA un accès à l’ordinateur, il est possible d’obtenir un C2 via l’injection de prompt
• Il existe aussi d’autres moyens de déployer un malware sur l’hôte Claude Computer Use, par exemple en demandant à Claude d’écrire et de compiler lui-même le malware
• « Ne faites pas confiance à l’IA (TrustNoAI) »
• Rappelons une fois encore qu’il ne faut jamais exécuter de code non autorisé sur des systèmes que vous ne possédez pas ou pour lesquels vous n’avez pas les droits d’administration