shield Исследование безопасности

Защита от инъекций промптов: Безопасность вашего ИИ-рабочего пространства.

Разбираемся в угрозах инъекций промптов, реальных инцидентах и многоуровневой архитектуре безопасности Claude Cowork, которая защищает ваши данные.

Последнее обновление: февраль 2026

Ландшафт угроз

ИИ-агенты сталкиваются с уникальными проблемами безопасности, незнакомыми традиционному ПО.

description

Critical

Непрямая инъекция промпта

Вредоносные инструкции, скрытые в документах, письмах или веб-страницах, которые заставляют ИИ-агента выполнять непредусмотренные действия при обработке контента.

extension

High

Уязвимости MCP-серверов

Сторонние MCP-серверы могут содержать бреши в безопасности — например, недостаточную валидацию ввода — позволяющие произвольный доступ к файлам, их удаление или удалённое выполнение кода.

cloud_upload

High

Риск утечки данных

Скомпрометированная ИИ-сессия с доступом в интернет может отправить содержимое конфиденциальных файлов на серверы злоумышленника через специально сформированные запросы.

Реальные инциденты (январь 2026)

Хронология событий в сфере безопасности, определивших текущий ландшафт угроз для настольных ИИ-агентов.

bug_report

15 янв. 2026

PromptArmor раскрывает утечку файлов из Cowork

Исследователи безопасности продемонстрировали, что скрытые инъекции промптов в документах могли заставить Cowork прочитать конфиденциальные файлы и отправить их на внешние серверы. Уязвимость впервые была обнаружена в октябре 2025 года для Files API Claude.

code

20 янв. 2026

Три критические уязвимости в Git MCP-сервере

Компания по кибербезопасности Cyata обнаружила уязвимости произвольного чтения файлов, удаления файлов и удалённого выполнения кода в официальном mcp-server-git от Anthropic. Исправлено в версии 2025.12.

Исправлено

public

28 янв. 2026

Реакция отрасли

OWASP обновил свой Top-10 рисков ИИ, поставив инъекцию промптов и «перехват цели агента» на первое место. MIT Technology Review опубликовал: «Правила не работают на уровне промпта, но работают на границе.»

«Смертельная триада»

Исследователь безопасности Саймон Уиллисон выделил три фактора, которые в сочетании создают максимальный риск для систем ИИ-агентов:

folder_open

Доступ к приватным данным

Агент может читать конфиденциальные файлы, учётные данные и личную информацию в вашей системе.

play_circle

Выполнение действий

Агент может записывать файлы, выполнять команды, отправлять сетевые запросы и взаимодействовать с внешними сервисами.

warning

Ненадёжный контент

Агент обрабатывает документы, веб-страницы или письма, которые могут содержать скрытые вредоносные инструкции.

priority_high Минимизация пересечения этих трёх факторов — ключевой принцип эффективной безопасности ИИ-агентов.

Архитектура защиты Cowork

Claude Cowork использует несколько уровней защиты — от аппаратной изоляции до встроенных механизмов безопасности модели.

memory

Изоляция в виртуальной машине

Cowork работает внутри выделенной Linux VM на базе встроенных средств виртуализации macOS и Windows. Даже при компрометации агент не может выйти за границы VM или получить доступ к неподключённым папкам.

wifi_off

Белый список сетевых подключений

Весь исходящий трафик проходит через прокси с белым списком доменов. Произвольные URL блокируются по умолчанию, предотвращая несанкционированную утечку данных.

admin_panel_settings

Система разрешений

Три типа правил — Разрешить, Спросить и Запретить — контролируют действия агента. Запись файлов, bash-команды и использование MCP-инструментов требуют явного одобрения.

security

Классификаторы контента

Специальные классификаторы проверяют ненадёжный контент на наличие паттернов инъекции промптов до его обработки агентом, выявляя скрытые инструкции в документах и веб-страницах.

psychology

Защита на уровне RLHF

Claude обучен методом обучения с подкреплением на основе обратной связи от людей распознавать и отклонять вредоносные инструкции. Каждое поколение модели демонстрирует измеримое улучшение устойчивости к инъекциям.

10 лучших практик безопасности

Конкретные шаги для снижения рисков при работе с настольными ИИ-агентами.

folder_off

Ограничить доступ к папкам

Предоставляйте Cowork доступ только к конкретным рабочим папкам. Никогда не подключайте домашнюю директорию, SSH-ключи или хранилища учётных данных.

scan_delete

Проверять ненадёжные файлы

Не позволяйте Cowork обрабатывать документы из неизвестных источников. Файлы могут содержать невидимые инъекции промптов через скрытый текст или Unicode-трюки.

update

Обновлять MCP-серверы

Уязвимости Git MCP-сервера показывают, что MCP-серверы могут иметь критические бреши. Всегда используйте последние версии.

docker

Использовать песочницы

Включите sandbox-среду Claude Code или используйте Docker-контейнеры для дополнительной изоляции помимо стандартной VM.

key_off

Защищать секреты

Храните API-ключи и токены в переменных окружения, а не в исходном коде или промптах. По возможности не помещайте учётные данные в конфигурационные файлы MCP.

lan

Ограничить сетевой доступ

Используйте белые списки доменов для исходящих подключений. Блокируйте произвольные URL по умолчанию для предотвращения утечки данных.

block

Использовать правила запрета

Настройте правила Deny для опасных операций. Не разрешайте все MCP-инструменты скопом — одобряйте каждый по отдельности.

monitoring

Отслеживать активность

Следите за журналом активности в реальном времени во время сессий. Обращайте внимание на неожиданный доступ к файлам, необычные сетевые запросы или аномальное поведение.

shield

Принцип минимальных привилегий

Предоставляйте только минимально необходимые разрешения для каждой задачи. Отзывайте доступ после завершения работы.

backup

Делать резервные копии

Создавайте резервные копии важных файлов перед тем, как позволить ИИ-агенту их изменять. Песочница защищает ОС, но не данные в разрешённых папках.

Чек-лист безопасности MCP

Специальные меры безопасности для интеграций MCP-серверов (Model Context Protocol).

check_circle

Устанавливайте MCP-серверы только из проверенных источников (официальные пакеты Anthropic или доверенные разработчики)

check_circle

Изучите исходный код или документацию сервера перед установкой

check_circle

Поддерживайте все MCP-серверы в актуальном состоянии — патчи безопасности выходят регулярно

check_circle

Используйте переменные окружения для API-ключей вместо их прописывания в claude_desktop_config.json

check_circle

Ограничивайте область действия каждого MCP-сервера до минимума (например, сервер файловой системы — только для конкретных директорий)

check_circle

Отслеживайте логи MCP-серверов на предмет неожиданных операций или паттернов доступа

check_circle

Удаляйте неиспользуемые MCP-серверы из конфигурации для сокращения поверхности атаки

Связанные ресурсы

verified_user

Руководство по настройке безопасности

Изоляция в VM и настройка песочницы

extension

Руководство по установке MCP

Установка и настройка MCP-плагинов

compare_arrows

Cowork vs Claude Code

Сравнение возможностей и сценарии использования

Безопасность начинается с осведомлённости.

Будьте в курсе новейших практик безопасности ИИ-агентов. Настройте рабочее пространство по принципу эшелонированной защиты.

Читать руководство по безопасности Связаться с Anthropic Sales