ZombAIs - Dari prompt injection Claude Computer Use ke C2 (command and control)

• Claude Computer Use yang dirilis Anthropic adalah model+kode yang memungkinkan pengendalian komputer
  • Claude dapat mengambil keputusan melalui tangkapan layar, menjalankan perintah bash, dan melakukan tugas lainnya
• Ini adalah fitur yang keren, tetapi bisa rentan terhadap prompt injection
  • Karena AI dapat menjalankan perintah secara otonom di mesin, penyalahgunaan melalui prompt injection dapat menimbulkan risiko serius

Menjalankan malware - seberapa sulit?

• Ingin mengetahui apakah Claude Computer Use dapat mengunduh dan menjalankan malware melalui serangan prompt injection lalu terhubung ke infrastruktur Command and Control (C2)

Server C2

• Membangun infrastruktur C2 menggunakan Sliver dan membuat biner klien untuk Linux
  • Silver: framework emulasi adversarial open source (red team). Digunakan untuk pengujian keamanan
• Saat biner yang disebut implant ini dijalankan, ia akan terhubung dengan aman ke server C2 dan komputer yang terinfeksi menjadi zombie
  • Biner ini akan disebut spai-demo, dan komputer yang terinfeksi akan disebut ZombAI
• Bisakah Claude Computer Use dibuat terhubung ke server C2 ini melalui serangan prompt injection?

Halaman web berbahaya

• Meng-host biner spai-demo di server web agar bisa diunduh
• Tujuannya adalah menulis payload prompt injection agar Claude mengunduh dan menjalankan biner tersebut

Menjelajahi halaman berbahaya

• Claude dapat membuka Firefox, menempelkan URL, lalu menjelajahi halaman web
• Halaman target bersifat berbahaya dan berisi payload prompt injection
• Berhasil membuat halaman web tersebut mendorong Claude menjalankan perintah bash

Menginfeksi komputer dengan satu kalimat

• Sebenarnya, cara yang lebih mudah adalah meminta Claude menggunakan Firefox untuk mengunduh dan menjalankan malware
• Membuat Claude mengklik tautan Support Tool untuk mengunduh biner
  • Claude menjalankan perintah bash untuk menemukan biner, mengubah izin, lalu menjalankan biner tersebut
• Berhasil terhubung ke server C2, dan biner yang menginfeksi dapat ditemukan dari sesi shell

Kesimpulan

• Tulisan ini menunjukkan bahwa saat sistem AI baru diberi akses ke komputer, prompt injection dapat dimanfaatkan untuk mencapai C2
• Ada juga cara lain untuk menyebarkan malware ke host Claude Computer Use, misalnya Claude langsung menulis dan mengompilasi malware
• "Jangan percaya AI (TrustNoAI)"
• Sekali lagi, ingat bahwa kode yang tidak diotorisasi tidak boleh dijalankan pada sistem yang bukan milik Anda atau yang tidak Anda miliki wewenang operasionalnya