Claude Security Atlas

一份模块化的网络安全指南，描绘了所有 Claude 环境中的提示注入攻击面
威胁分类 • 防御技能 • 攻击示例 • 测试页面 • 技术手册

### 威胁态势 - **36.82%** 的 3,984 个社区技能包含安全缺陷 Snyk ToxicSkills，2026 年 2 月 - **80%** 针对前沿模型的攻击成功率 Skill-Inject 基准，arXiv:2602.20156 - **335** 个在一次活动中协同的恶意技能 ClawHavoc / Snyk，2026 年 2 月 - **73%** 的生产级 AI 部署受到间接提示注入的影响 Gartner AI 安全报告，2025 - **Zero** (零) 针对技能的签名、审查或来源验证机制

### 本指南提供的内容 - 横跨 2 个攻击面 (SKI + WCI) 的 **24 向量威胁分类** - **6 个可安装的防御技能** — 扫描器、验证器、护栏、过滤器 - **6 个攻击示例** — 基于技能的教育性演示 - **12 个 HTML 测试页面** — 红/蓝队 Web 注入测试 - **平台安全分析** — Claude Web vs Cowork vs Code - **统一技术手册**，涵盖从架构到法规的全面内容

## 核心文档

### 📖 技术手册 完整的技术指南——架构深度剖析、包含代码演练的全部 24 个攻击向量、5 层防御架构、监管背景以及可操作的建议。 **[在线阅读](docs/technical-manual.md)**   |   **[下载 PDF](docs/technical-manual.pdf)**

### 📋 执行摘要 面向安全领导层和治理受众的非技术性概述。涵盖关键统计数据、风险评估，以及跨两个攻击面的优先建议。 **[在线阅读](docs/executive-summary.md)**   |   **[下载 PDF](docs/executive-summary.pdf)**

## 模块 | 模块 | 状态 | 攻击面 | 向量 | 防御技能 | |:---|:---:|:---|:---:|:---:| | [`claude-skills/`](claude-skills/) | ✅ 已完成 | 技能注入 (SKILL.md, scripts, triggers) | 12 (SKI-001..012) | 3 | | [`web-content/`](web-content/) | ✅ 已完成 | Web 内容注入 (HTML, search, fetch) | 12 (WCI-001..012) | 3 | | `mcp-servers/` | 📋 计划中 | MCP 服务器安全 | — | — | | `project-files/` | 📋 计划中 | 项目文件与配置注入 | — | — | | `multi-agent/` | 📋 计划中 | 多智能体编排安全 | — | — | | `computer-use/` | 📋 计划中 | 浏览器自动化与计算机使用 | — | — | | `memory-persistence/` | 📋 计划中 | 记忆与上下文持久化 | — | — | | `exfiltration-channels/` | 📋 计划中 | 数据渗出模式 | — | — | ### 计划中的模块 **MCP 服务器安全** — 恶意或受损的 MCP 服务器、通过描述注入进行的工具投毒、工具遮蔽、协议级漏洞利用。涵盖 CVE-2025-6514 (CVSS 9.6)、Smithery 注册表泄露以及 SANDWORM_MODE 活动。*优先级：高* **项目文件与配置注入** — 武器化的 CLAUDE.md、.claude/settings.json、hooks、.cursorrules 和 .vscode/settings.json。涵盖 CVE-2025-59536 (hooks RCE，CVSS 8.7) 和 CVE-2026-21852 (API token 渗出)。每一次 git clone 都是一个潜在的攻击向量。*优先级：高* **多智能体与编排安全** — 智能体间的提示感染、受污染的指令分发、编排器劫持、共享记忆投毒。基于 Lee & Tiwari 的 Prompt Infection 研究 (LLM-to-LLM 感染率超过 80%)。*优先级：中* **计算机使用与浏览器自动化安全** — Playwright/浏览器自动化中的像素级注入、对抗性 UI 元素、基于截图的数据渗出、对智能体的点击劫持。基于 CaMeL for CUAs (arXiv:2601.09923)。*优先级：中* **记忆与持久化安全** — 记忆投毒 (跨会话注入虚假记忆)、缓存投毒、CLAUDE.md 操纵。能够在对话边界之外存续的威胁。*优先级：中* **数据渗出通道** — 隐写术渗出 (base64、不可见 unicode)、基于时间/错误消息的侧信道、通过合法工具使用的隐蔽通道。这是一个横跨所有模块的交叉关注点。*优先级：低* ## 快速开始：安装防御技能 ``` # Clone repo git clone https://github.com/RationalEyes/claude-security-atlas.git cd claude-security-atlas # Install Module 1: Skills defense cp -r claude-skills/skills/security-monitor ~/.claude/skills/security-monitor cp -r claude-skills/skills/hash-verifier ~/.claude/skills/hash-verifier cp -r claude-skills/skills/output-sanitizer ~/.claude/skills/output-sanitizer # Install Module 2: Web content defense cp -r web-content/skills/web-content-scanner ~/.claude/skills/web-content-scanner cp -r web-content/skills/search-guardrail ~/.claude/skills/search-guardrail cp -r web-content/skills/real-time-content-filter ~/.claude/skills/real-time-content-filter ``` 然后直接与 Claude 对话： | 在 Claude Code 中说这个 | 会发生什么 | |---|---| | *"Scan my installed skills for security issues"* | 对所有技能文件运行静态分析 | | *"Verify skill integrity"* | 根据已知良好的清单检查 SHA-256 哈希值 | | *"Scan this URL for injection attacks"* | 审计 Web 内容以查找所有 12 个 WCI 模式 | | *"Search with guardrails for [topic]"* | 通过注入扫描器过滤搜索结果 | | *"Enable content filtering"* | 激活实时行为护栏 | ## 防御技能

### 模块 1：技能防御 **🔍 Security Monitor** — 针对 SKILL.md 和脚本的静态分析扫描器。检测外部 URL、凭证访问、持久化机制、权限冒充和隐藏内容。 **🔐 Hash Verifier** — 密码学完整性检查器。生成 SHA-256 清单并检测被修改、添加或删除的文件。可捕获撤回操作 (rug-pull) 和供应链攻击。 **🧹 Output Sanitizer** — 二阶注入防御。在脚本输出进入 Claude 上下文之前，剥离注入模式、凭证暴露和编码载荷。

### 模块 2：Web 内容防御 **🌐 Web Content Scanner** — 摄入前 HTML 审计。扫描获取的页面以查找所有 12 个 WCI 向量 (注释、CSS 隐藏文本、编码载荷、权限欺骗、unicode 混淆、JSON-LD 投毒)。输出 0-100 的风险评分。 **🔎 Search Guardrail** — 搜索结果过滤器。在 Claude 处理每个结果之前获取并扫描它们。可配置阈值：阻断 CRITICAL，标记 HIGH，放行 MEDIUM/LOW。 **🛡️ Real-Time Content Filter** — 行为护栏。注入信任层级和自我审计指令。无脚本——作为推理层防御运作。

## 威胁分类 ### 模块 1：技能注入 (SKI) | ID | 向量 | 风险 | 复杂度 | |:---|:---|:---:|:---:| | **SKI-001** | SKILL.md 内容投毒 | `CRITICAL` | 低 | | **SKI-002** | 技能触发器劫持 | `HIGH` | 低 | | **SKI-003** | 用户上传的技能持久化 | `CRITICAL` | 低 | | **SKI-004** | 基于脚本的主机入侵 | `CRITICAL` | 中 | | **SKI-005** | 二阶上下文投毒 | `CRITICAL` | 高 | | **SKI-006** | 技能链接 / 交叉污染 | `HIGH` | 高 | | **SKI-007** | 元数据 / Frontmatter 篡改 | `HIGH` | 低 | | **SKI-008** | 针对仓库的供应链攻击 | `CRITICAL` | 中 | | **SKI-009** | 多智能体技能传播 | `CRITICAL` | 高 | | **SKI-010** | 通过早期激活进行缓存投毒 | `HIGH` | 高 | | **SKI-011** | 技能作为命令与控制 (C2) | `CRITICAL` | 中 | | **SKI-012** | 技能权限悖论 (架构层面) | `CRITICAL` | 低 | ### 模块 2：Web 内容注入 (WCI) | ID | 向量 | 风险 | 复杂度 | |:---|:---|:---:|:---:| | **WCI-001** | 隐藏的 HTML 注释注入 | `HIGH` | 低 | | **WCI-002** | CSS 隐藏文本注入 | `HIGH` | 低 | | **WCI-003** | Meta/Data 属性中的编码载荷 | `MEDIUM` | 中 | | **WCI-004** | 页面内容中的权限欺骗 | `CRITICAL` | 低 | | **WCI-005** | 通过 Web 内容进行 Markdown 注入 | `HIGH` | 中 | | **WCI-006** | 多页面链式注入 | `HIGH` | 高 | | **WCI-007** | Unicode/同形字混淆 | `HIGH` | 中 | | **WCI-008** | 恶意结构化数据 (JSON-LD) | `HIGH` | 中 | | **WCI-009** | 搜索结果投毒 / SEO 注入 | `CRITICAL` | 中 | | **WCI-010** | 动态 JavaScript 生成的注入 | `MEDIUM` | 中 | | **WCI-011** | 图像/媒体 Alt-Text 和 EXIF 注入 | `MEDIUM` | 低 | | **WCI-012** | Fetch 响应头注入 | `LOW` | 中 | **10 CRITICAL** • **10 HIGH** • **3 MEDIUM** • **1 LOW** 有关包含 MITRE ATLAS 和 OWASP 映射的完整详细信息，请参阅 [`docs/threat-taxonomy.md`](docs/threat-taxonomy.md)。 ## 平台安全维度 同一个向量在 Claude 的三个平台上会产生截然不同的影响： | 维度 | Claude Web | Claude Cowork | Claude Code | |:---|:---:|:---:|:---:| | 文件系统访问 | 无 | 仅限沙盒 | **完全** | | Shell 执行 | 无 | 受限 | **完全** | | Web 获取/搜索 | 无 | 工具可用 | **WebFetch + WebSearch + Playwright** | | 技能支持 | 无 | 无 | **完全** | | 活跃的 SKI 向量 | 0 | 0 | **12** | | 活跃的 WCI 向量 | 4 (仅限粘贴) | 8 (沙盒化) | **12 (全部)** | | 总体风险 | 低 | 中 | **严重** | 详细分析请参阅 [`docs/platform-dimensions.md`](docs/platform-dimensions.md)。 ## 测试页面 (红队/蓝队) 12 个伪装成专业网站的 HTML 测试页面，每个页面隐藏着特定的 WCI 注入： ``` cd web-content/test-pages python -m http.server 8080 # 然后测试："Fetch http://localhost:8080/04-authority-spoofing.html 并进行总结" ``` 使用 **Web Content Scanner** 测试检测能力： ``` python3 web-content/skills/web-content-scanner/scripts/scan_web_content.py \ web-content/test-pages/04-authority-spoofing.html ``` 完整的测试指南请参阅 [`web-content/test-pages/README.md`](web-content/test-pages/README.md)。 ## 文档 ## | 文档 | 描述 | PDF | |:---|:---|:---:| | 📖 [`docs/technical-manual.md`](docs/technical-manual.md) | 完整技术手册——架构、全部 24 个向量、防御层、监管背景 (~20,000+ 字) | [PDF](docs/technical-manual.pdf) | | 🗂️ [`docs/threat-taxonomy.md`](docs/threat-taxonomy.md) | 统一的 24 向量分类法，包含 MITRE ATLAS 和 OWASP 交叉参考 | [PDF](docs/threat-taxonomy.pdf) | | 🌐 [`docs/platform-dimensions.md`](docs/platform-dimensions.md) | 平台安全对比 — Claude Web vs Cowork vs Code | — | | 📊 [`docs/attack-path-diagrams.md`](docs/attack-path-diagrams.md) | 13 个 Mermaid 图表：攻击路径、防御层、风险矩阵 | [PDF](docs/attack-path-diagrams.pdf) | | 📋 [`docs/executive-summary.md`](docs/executive-summary.md) | 面向领导层治理受众的非技术性摘要 | [PDF](docs/executive-summary.pdf) | ## 关键参考文献 | 来源 | 引用 | |:---|:---| | Skill-Inject benchmark | Schmotz et al., arXiv:2602.20156, 2026 年 2 月 | | Promptware Kill Chain | Schneier et al., arXiv:2601.09625, 2026 年 2 月 | | SoK: Prompt Injection in Coding Assistants | arXiv:2601.17548, 2026 年 1 月 | | Snyk ToxicSkills | snyk.io/blog/toxicskills, 2026 年 2 月 | | Indirect Prompt Injection (基础性) | Greshake et al., arXiv:2302.12173, 2023 | | CaMeL defense framework | Debenedetti et al., arXiv:2503.18813, 2025 年 3 月 | | CaMeL for Computer Use Agents | arXiv:2601.09923, 2026 年 1 月 | | Prompt Infection (LLM-to-LLM) | Lee & Tiwari, arXiv:2410.07283, COLM 2025 | | Agents Rule of Two | Meta AI, arXiv:2512.00966, 2025 年 10 月 | | MITRE ATLAS | 2025 年 10 月更新 — 14 项新的 Agentic AI 技术 | | OWASP Agentic Top 10 | 2025 年 12 月 | | OWASP LLM Top 10 | 2025 版 | ## 系统要求 - **Python 3.8+** - **PyYAML** *(可选)* — 用于 security-monitor 中的 frontmatter 解析 ``` pip install pyyaml # optional ``` ## 许可证 [MIT](LICENSE)

 

标签：AI安全, AI风险治理, Chat Copilot, CISA项目, Claude, CVE检测, LLM攻击面, Python, Windows内核, XSS与注入, 多模态安全, 大模型安全, 威胁分类学, 威胁建模, 安全手册, 安全测试, 恶意代码分类, 恶意技能检测, 攻击向量化, 攻击性安全, 文档安全, 无后门, 漏洞分析, 白帽子, 网络安全指南, 路径探测, 逆向工具, 防御技能, 防御策略