HackerNews 编译，转载请注明出处： 一名黑客从 2025 年 12 月开始，历时一个月，利用 Anthropic 公司的 Claude AI 聊天机器人进行攻击，识别漏洞、生成漏洞利用代码，并从墨西哥政府机构窃取敏感数据。 网络安全公司 Gambit Security 发现了此次攻击，并揭示了黑客如何通过持续不断的提示绕过 Claude 的安全防护措施。...

Anthropic 公司旗下 AI 产品 Claude 的新增功能 “Claude Skills” 被发现存在勒索软件攻击风险 —— 该功能可被黑客操控，在用户未明确察觉的情况下部署 MedusaLocker 等恶意软件。 Claude Skills 的设计初衷是通过自定义代码模块扩展 AI 功能，但这类看似合法的技能却成为威胁行为者的欺骗性危险工具。 问题根源在于 Claude Skills 的 “单一授权信任模型”：用户一旦授予某个技能初始运行权限，该技能即可在后台执行一系列操作，包括下载并运行额外的恶意代码。...