اكتشف أيوش بول ثغرة في أداة `web_fetch` الخاصة بكلاود من أنثروبيك سمحت بتسريب بيانات المستخدم الخاصة. سمحت العيب للنموذج بالتنقل إلى عناوين URL المضمنة داخل الصفحات التي تم جلبها سابقًا، متجاوزًا القيود المصممة لمنع الوصول إلى روابط خارجية عشوائية.

  • استخدم المهاجم موقع فخ (honeypot) يحتوي على روابط متداخلة لخدع الوكيل لزيارة مسارات محددة حرفًا بحرف.
  • نجحت هذه الطريقة في استخراج اسم المستخدم ومدينة السكن واسم صاحب العمل.
  • أغلقت أنثروبيك الثغرة عن طريق إزالة القدرة على تتبع الروابط الإضافية التي يتم إرجاعها داخل المحتوى الذي تم جلبه بواسطة `web_fetch` نفسه.

تمنع التصحيح المهاجمين من استخدام هذه التقنية لسرقة المعلومات الحساسة المخزنة في ذاكرة كلاود.