夜雨聆风4月28号,Anthropic干了一件大事。
一天之内,上线了9个Claude连接器。
Adobe、Blender、Autodesk Fusion、Ableton、Splice、Affinity by Canva、SketchUp、Resolume Arena、Resolume Wire。
全部即时可用,所有Claude计划都能用,包括免费版。
我刷到这个消息的时候,第一反应是,卧槽,这也太猛了。
Claude之前就有连接器了,GitHub、Google Drive、Slack这些办公和开发工具早就能连。但这次不一样。这次一口气打通的全是创意生产工具,而且是9个同时上线。
这意味着AI不再只是帮你查资料、管文件、发消息了。它现在能直接操作你的Photoshop,能控制你的Blender场景,能帮你在Ableton里找音色,能在SketchUp里建模型。
从「连接信息」到「连接创作」,这是一个质变。AI从你的助理,变成了你的操作员。
然后我又刷到了另一条消息。
安全研究公司Oasis Security发现了Claude的一个漏洞链,叫"Claudy Day"。三个漏洞串在一起,能在用户完全不知情的情况下,把你的聊天记录、敏感信息全部偷走。
不需要任何集成工具,不需要MCP服务器,默认状态下的Claude就能被攻击。
这两条消息放在一起看,我后背有点凉。
先说说这9个连接器到底在干嘛
连接器这个东西,本质上是基于Anthropic自己搞的MCP协议(Model Context Protocol,模型上下文协议)。你可以把MCP理解成AI世界的USB-C接口。以前每个工具都需要单独适配,现在有了统一标准,插上就能用。
这9个连接器覆盖的范围很广。
Adobe那个最夸张,直接打通了50多个Creative Cloud应用。Photoshop、Premiere、Express,全包了。你可以让Claude帮你P图、剪视频、做设计。
Blender的连接器让你用自然语言操作它的Python API。以前你想在Blender里批量修改场景里的物体,得自己写脚本。现在跟Claude说一句话就行了。
Autodesk Fusion让你用对话创建和修改3D模型。SketchUp让你描述一个房间、一件家具,Claude直接给你建出来。
Ableton和Splice面向音乐制作人。Resolume面向VJ和现场视觉艺术家,能用自然语言实时控制视觉表演。
Anthropic官方博客里写得很清楚,这些连接器的设计目标是让Claude能够「读取产品文档、通过API操作、搜索创意素材库、帮用户在工具内部编写脚本」。
换句话说,Claude现在不只是看得懂你的工具,它还能动手操作你的工具。
这是Agent时代一个标志性的节点。AI从「建议者」变成了「执行者」。
The Verge的报道标题很直白:「Claude现在能直接插入Photoshop、Blender和Ableton了。」
然后,安全那边炸了
就在连接器发布的同一周,Oasis Security公布了他们发现的Claude漏洞链。
三个漏洞,环环相扣。
第一个:URL参数里的隐形提示注入。Claude.ai允许用户通过URL参数预填充聊天内容。研究人员发现,某些HTML标签可以嵌入这个参数里,在文本框中完全不可见,但Claude按下回车后会完整执行这些隐藏指令。
第二个:通过Anthropic Files API进行数据窃取。Claude的代码执行沙箱限制了外部网络访问,但允许连接api.anthropic.com。攻击者可以在隐藏指令中嵌入自己的API密钥,让Claude搜索用户的对话历史,把敏感信息写成文件,上传到攻击者的Anthropic账户。
第三个:claude.com上的开放重定向。任何形如claude.com/redirect/目标地址的URL都会无验证地跳转,包括跳转到任意第三方域名。配合Google Ads,攻击者可以投放一个看起来完全正常的claude.com广告,点击后静默跳转到注入URL。
三步串起来,就是一个完整的攻击链。用户点了一个看起来完全正常的Google搜索广告,进入了一个看起来完全正常的Claude对话界面,按了回车,然后他过去所有的聊天记录就被偷走了。
全程零感知。
Oasis Security的研究人员说得很直白:「即使在没有任何集成的默认Claude会话中,Agent也能通过对话历史和记忆访问大量敏感信息。通过提示注入,攻击者可以指示Claude总结之前的对话来构建用户画像,提取特定话题的聊天内容,或者让Agent自行判断什么是敏感信息并全部导出。」
而如果用户启用了MCP服务器、工具或企业集成呢?
「爆炸半径会急剧扩大。注入的提示可以读取文件、发送消息、访问API、与任何已连接的服务交互。全部静默执行,用户来不及反应。」
这不是个案,是系统性问题
如果你觉得这只是Oasis Security发现的一个孤立漏洞,那你太乐观了。
同一时期,安全领域接连爆出一系列MCP相关的安全事件。
Check Point Research发现了Claude Code的远程代码执行漏洞。攻击者可以通过恶意项目配置文件,在用户克隆并打开不受信任的仓库时,执行任意Shell命令并窃取Anthropic API密钥。
LayerX披露了Claude Desktop Extensions的零点击漏洞。一个Google日历事件就能静默入侵运行Claude DXT的系统。CVSS评分10.0,满分。研究人员向Anthropic报告后,Anthropic的回复是「这不在我们当前的威胁模型范围内」。
OX Security发现了MCP协议本身的架构性缺陷。这个缺陷影响了Python、TypeScript、Java、Rust四种语言的官方SDK,涉及超过1.5亿次下载、7000个公开可访问的服务器。
Trend Micro发现了492个暴露在互联网上的MCP服务器,零认证。
一个非官方的Postmark MCP服务器,每周1500次下载,被悄悄修改后在发送邮件时添加了一个隐藏的BCC字段,把所有邮件静默抄送给攻击者。
你看到规律了吗?
所有这些漏洞都指向同一个根本问题:当AI获得了操作外部工具的能力,传统的安全边界就失效了。
连接器越多,攻击面越大
回到Anthropic这次一口气上线9个连接器这件事。
从产品角度看,这是一步好棋。创意工作者确实需要AI深度集成到他们的工作流里。能用自然语言操作Photoshop、Blender、Ableton,这对生产力的提升是实打实的。
但从安全角度看,每多一个连接器,就多一个攻击面。
这不是我危言耸听。Anthropic自己的支持文档里都写了:「自定义连接器允许你将Claude连接到未经Anthropic验证的服务,并允许Claude在这些服务中访问和执行操作。」
MCP的设计理念是让AI能够动态选择和组合外部工具。这意味着,当你给Claude连接了你的Adobe账户、你的Blender项目、你的音乐制作环境,Claude就获得了对这些工具的操作权限。
如果这时候有人通过提示注入劫持了Claude的行为呢?
它不只是能偷你的聊天记录了。它能读你的设计文件,能修改你的3D模型,能访问你的音乐项目,能操作你连接的任何服务。
LayerX的研究人员说了一句话,我觉得特别到位:「这展示了AI的经典悖论。要解锁AI的生产力优势,你需要给这些工具深度访问敏感数据的权限。但如果任何数据因此被泄露,AI和模型提供商并不认为自己对用户安全负责。」
这就是问题的核心。
功能越强大,需要的权限越多。权限越多,被攻击后的损失越大。而提供商说,安全是你自己的事。
Agent时代最先失守的是哪道门
我反复想这个问题,想了好几天。
结论是:信任边界。
在传统软件里,信任边界是很清晰的。你的浏览器有沙箱,Chrome扩展有权限系统,App有权限申请弹窗。每一层都在问你:你确定要给这个权限吗?
但在Agent时代,这套机制正在被绕过。
MCP的设计让AI能够自主决定调用哪些工具、以什么顺序调用、传什么参数。这意味着,一旦AI被提示注入劫持,它可以在你授权的范围内做任何事情,而你可能完全不知道。
LayerX的那个案例特别典型。研究人员只是告诉Claude「检查我最新的日程并处理一下」,Claude就把「处理一下」理解成了执行日历事件中嵌入的任意指令。
一个日历事件。零点击。完整的远程代码执行。
这不是Claude特别蠢。这是所有Agent系统都面临的根本性挑战。当你让AI自主决策和执行,它就必须在「有用」和「安全」之间走钢丝。太保守了,什么都干不了。太激进了,就容易被利用。
而目前的现实是,整个行业都在往「有用」那边猛冲,「安全」被远远甩在后面。
这跟我们有什么关系
说点实际的。
如果你是普通用户,用Claude聊天、写东西、做创意工作,你需要知道几件事。
第一,不要点来路不明的Claude链接。尤其是那种预填充了内容的链接。Oasis Security发现的那个漏洞虽然已经被修复了,但同类攻击手法会不断演化。
第二,谨慎授权连接器。每多连接一个服务,就多一个潜在的攻击面。只连接你真正需要的,用完就断开。
第三,不要在AI对话里放真正敏感的信息。商业机密、密码、财务数据,这些东西不应该出现在任何AI对话里。不管那个AI看起来多安全。
如果你是开发者或企业用户,事情更复杂一些。
你需要审计你的Agent集成和权限。每一个Agent能触达的MCP服务器、工具或API,都在扩大被攻击后的爆炸半径。禁用不需要的集成,审查Agent能访问什么数据。
你需要对AI Agent的身份进行治理。AI Agent会认证、持有凭证、执行自主操作。它们需要像人类用户和服务账户一样被严格管理。
你需要建立监控。知道你的Agent在什么时候访问了什么,执行了什么操作。
这些听起来很基础,但现实是,大多数组织在这方面几乎是裸奔状态。
写在最后
Anthropic一天上线9个连接器,这件事本身是好的。
AI深度集成到创意工作流,这是Agent时代的必然方向。能用自然语言操作专业工具,对创作者来说是实实在在的生产力解放。
但同一周被曝出的安全漏洞,给这个美好故事泼了一盆冷水。
功能爆炸和安全翻车,几乎是同时发生的。
这让我想到一个比喻。你家装了一扇特别高级的智能门锁,能远程开门、能语音控制、能连接你家所有的智能设备。功能强大得不得了。
然后有人发现,只要对着门锁说一句特定的话,门就自己开了。
你说这门锁好不好?功能确实好。但你敢用吗?
Agent时代的安全问题,本质上就是这个困境。
我们正在给AI越来越多的权限,让它能操作越来越多的东西。但我们保护这些权限的机制,还停留在上一个时代。
提示注入这个问题,到今天为止,没有任何一家公司给出了根本性的解决方案。所有的防御都是「尽量减少风险」,没有人能说「彻底消除风险」。
而连接器越多、权限越大、Agent越自主,这个风险就越高。
这不是说我们应该拒绝Agent时代。那不现实,也没必要。
但我觉得,作为用户,我们至少应该知道自己在用什么,风险在哪里,底线在哪里。
不要因为一个工具好用,就忘了问一句:它能看到我的什么?它能动我的什么?如果它被劫持了,我会失去什么?
这三个问题,在Agent时代,值得每次授权之前都问一遍。
你现在用Claude或者其他AI工具,连接了多少外部服务?有没有想过,如果AI被劫持,这些连接会变成什么?评论区聊聊。
如果对你有帮助,可以的话请点赞、收藏+关注谢谢你看我的文章,我们,下次再见。
/ 作者:rocs
