--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱](https://gigazine.net/news/20260115-claude-cowork-exfiltrates-files/)【GIGAZINE】(2026年01月15日) --- > [!NOTE] この記事の要約（箇条書き） - AnthropicのAIエージェント「Cowork」に、アップロードされたファイル内の隠れた悪意あるプロンプトを実行し、情報を流出させる脆弱性が発見されました。 - セキュリティ企業PromptArmorが報告したこの脆弱性は、間接プロンプトインジェクション攻撃を利用し、信頼されているAnthropic API経由で機密ファイルを攻撃者のアカウントに送ることが可能です。 - 攻撃は、一見通常のファイル（例：mdファイルに見せかけたdocxファイル）に、人間の目には見えない形式で埋め込まれた悪意あるプロンプト（例：`curl`コマンドによるファイルアップロード指示）をCoworkに実行させることで発生します。 - また、誤った拡張子のファイル処理により、限定的なDoS攻撃が可能であることも指摘されています。 - Anthropicは脆弱性を認識しているものの、Coworkが研究プレビュー段階であるとして修正は行っておらず、ユーザーに機密情報へのアクセス許可には細心の注意を払うよう推奨しています。 > [!NOTE] 要約おわり --- ▼サーバー運営を助ける支援をお願いします [毎月 825円(税込)](https://gigazine.net/club/) [900円 (うち手数料33円)](https://donate.stripe.com/5kA5msbys6u42Gs14k) 親愛なる読者の皆さまへ。ご存じの通り価格高騰などの悪影響でサーバー運営がとても苦しい状態です。回線や台数を整理し見直せる部分は全て見直しましたが、やはりまだ危険水域です。このままだと1ページを10分割ぐらいして無理矢理PVを増やさざるを得なくなってしまいます。そこで、GIGAZINEの物理的なサーバーたちを、たった1円でも良いので親愛なる読者の皆さまに支援してもらえればとっても助かります！今すぐ寄付は上のボタンから！ ・ **[これまでGIGAZINEを支援してくれたメンバーのリスト](https://gigazine.net/sponsor/20260101-thank-you/)** [セキュリティ](https://gigazine.net/news/C14/) [](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/00.png) Anthropicが発表した日常業務を支援するAIエージェント「 **[Cowork](https://gigazine.net/news/20260113-claude-cowork-pc-using-ai-anthropic/)** 」に、ユーザーがアップロードしたファイルから不正なプロンプトを読み取って実行してしまう脆弱性があることが分かりました。 **Claude Cowork Exfiltrates Files** **[https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files](https://www.promptarmor.com/resources/claude-cowork-exfiltrates-files)** セキュリティ企業のPromptArmorが報告したところによると、今回発見された脆弱性はAnthropic APIを利用して攻撃者にデータを送信する仕組みになっているとのこと。Coworkが実行するコードはすべて仮想環境内で動作し、ほぼ全てのドメインへのアクセスが制限されていますが、Anthropic APIだけは「信頼済み」として検知を逃れているため、本攻撃が成功してしまうそうです。 PromptArmorは、ユーザーが機密ファイルを含むローカルフォルダにCoworkを接続するシチュエーションを想定して攻撃の流れを説明しました。 Coworkだけでなく、AnthropicのClaudeモデルは「 **[スキル](https://github.com/anthropics/skills)** 」と呼ばれるAIへの指示書のようなものを処理して実行できます。このスキルは基本的にマークダウン形式で書かれており、インターネット上でさまざまなスキルを見つけることができます。ところが、マークダウン形式で書かれたmdファイルのように見えるdocxファイルがスキルとして公開される可能性があり、ユーザーが誤認してしまう場合があるとのこと。 PromptArmorは、こうしたスキルにフォントサイズ1ポイント・白地に白文字・行間0.1の設定で注入された「人間の目には見えないプロンプト」が含まれている場合を想定。一般的なユーザーは入手したスキルの内容を精査せずそのままCoworkに渡してしまうため、悪意のあるプロンプトが実行されてしまう可能性があるとしています。 [](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/01.png) 悪意のあるプロンプトは、Coworkに「curl」コマンドを使用させ、利用可能な最大サイズのファイルでAnthropicのファイルアップロード用APIへリクエストを送信するよう指示。その後、攻撃者のAPIキーを使ってファイルは攻撃者のアカウントへアップロードされます。PromptArmorはこのエクスプロイトをClaude Haikuで実証しました。 [](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/02.png) PromptArmorはまた、誤った拡張子を持つファイルの処理にClaudeが苦労し、繰り返しAPIエラーを発生させるという現象を観測したと報告しています。これにより、限定的なDoS攻撃が可能だと指摘しました。 [](https://i.gzn.jp/img/2026/01/15/claude-cowork-exfiltrates-files/03.png) PromptArmorがこうした脆弱性をAnthropicに報告したところ、脆弱性は認めたものの修正は行わなかったとのことです。Coworkはリリースから間もない上、あくまで研究プレビューの段階であり、Anthropicもリリース当初から「プロンプトインジェクション攻撃のリスクがあるため、機密情報などへのアクセスは許可しないように」と呼びかけています。 PromptArmorは「接続設定時には細心の注意を払うよう強く推奨します」と伝えました。 この記事のタイトルとURLをコピーする **・関連記事** **[PC操作AI「Cowork」をAnthropicが発表、ファイルの作成から削除まで自動で実行可能 - GIGAZINE](https://gigazine.net/news/20260113-claude-cowork-pc-using-ai-anthropic)** **[GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる - GIGAZINE](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data)** **[プロンプトインジェクションによってSlack AIから機密データを抜き取れる脆弱性が報告される - GIGAZINE](https://gigazine.net/news/20240822-slack-ai-prompt-injection)** **[AIエージェントでメールを分析することで全てのメールが外部に流出するリスクあり、AIにアクセス権が与えられたGoogleフォームを利用した攻撃 - GIGAZINE](https://gigazine.net/news/20260115-ai-exfiltrates-emails)** **[大量の質問をぶつけて最後の最後に問題のある質問をするとAIの倫理観が壊れるという脆弱性を突いた攻撃手法「メニーショット・ジェイルブレイキング」が発見される - GIGAZINE](https://gigazine.net/news/20240403-many-shot-jailbreaking)** **・関連コンテンツ** - [](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/) [GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる](https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/) - [](https://gigazine.net/news/20250918-anthropic-three-issues/) [AI「Claude」の応答品質が断続的に低下していたのは3つのバグが原因](https://gigazine.net/news/20250918-anthropic-three-issues/) - [](https://gigazine.net/news/20200422-ibm-data-risk-manager-vulnerability/) [IBMの企業向けセキュリティ製品に4件のゼロデイ脆弱性、セキュリティ研究者がGitHubで情報公開](https://gigazine.net/news/20200422-ibm-data-risk-manager-vulnerability/) - [](https://gigazine.net/news/20250617-anthropic-ai-sabotage-shade-arena/) [AIの「攻撃的なタスクをこっそり実行する能力」を測定する仕組みをAnthropicが開発、悪意あるAIモデルによる妨害工作を未然に防ぐことを目指す](https://gigazine.net/news/20250617-anthropic-ai-sabotage-shade-arena/) - [](https://gigazine.net/news/20250523-claude-opus-4-blackmail/) [Claude Opus 4が開発中にユーザーを「個人情報を漏らすぞ」と脅迫する挙動が見られるも安全性強化で改善される、悪質利用をメールで内部告発する事例も](https://gigazine.net/news/20250523-claude-opus-4-blackmail/) - [](https://gigazine.net/news/20220630-zuorat-soho-campaign/) [小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か](https://gigazine.net/news/20220630-zuorat-soho-campaign/) - [](https://gigazine.net/news/20250602-credit-card-terminal-security/) [店頭に置かれているクレジットカード決済端末はどれぐらい安全なのか？](https://gigazine.net/news/20250602-credit-card-terminal-security/) - [](https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/) [JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか？](https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/) in [AI](https://gigazine.net/news/C48/), [セキュリティ](https://gigazine.net/news/C14/), Posted by log1p\_kr You can read the machine translated English article **[Anthropic's 'Cowork' vulnerable to i…](https://gigazine.net/gsc_news/en/20260115-claude-cowork-exfiltrates-files)**.