你有沒有想過,明明設定了 2FA(就是那個登入時要輸入手機驗證碼的雙重驗證),帳號還是會被盜?最近 Claude 出現了一個很詭異的漏洞,駭客竟然能用一種像「送禮」的方式,直接繞過你的安全防線,直接進到你的帳號裡。 😱
為什麼 2FA 這次失效了?
你可以把 2FA 想像成你家大門的「第二把鎖」,就算小偷偷到鑰匙(密碼),沒有你的手機驗證碼還是進不去。但這次駭客發現了一個後門,就像是他們偽裝成快遞員,拿著一份「禮物」敲門,結果系統竟然直接幫他們開門,完全跳過了檢查第二把鎖的步驟。
簡單來說,駭客利用了 Claude 系統中處理「禮品」或「贈送權限」的邏輯漏洞。他們不需要知道你的密碼,也不需要你的手機驗證碼,只要透過特定的漏洞路徑,就能直接接管你的帳號。這對很多把重要工作資料、公司機密 Prompt 都存在 Claude 裡的人來說,簡直是災難。
駭客是怎麼操作的?(讓你知道怎麼防)
雖然技術細節很複雜,但你可以把它想成一種「身分偽裝」。駭客會發送一個看似正常的邀請或禮品連結,一旦系統判定這個「禮物」有效,它可能會在權限驗證上產生混亂,讓駭客在不需要驗證的情況下獲得進入帳號的權限。
這就像是在台灣的公司辦公室,如果你看到一個陌生人拿著「總經理送的禮盒」走進來,保全可能會覺得他是重要客人而直接放行,而沒要求他出示員工證。這就是這次漏洞的核心問題。
現在立刻要做:3 個步驟保護你的帳號
別擔心,雖然漏洞很可怕,但只要你養成好習慣,就能把風險降到最低。請現在立刻花 2 分鐘檢查以下項目:
1. 檢查「登入裝置」清單 進入 Claude 的設定頁面,看看有沒有不認識的裝置或奇怪的登入地點(例如你人在台北,卻出現一個美國或東歐的登入紀錄)。如果有,立刻強制登出所有裝置並更改密碼。
2. 絕對不要點擊「免費升級」的陌生連結 這點最重要!如果你在 LINE、Email 或社群媒體看到有人說「免費送你 Claude Pro 訂閱」或「點這裡領取 AI 禮包」,請直接刪除。這類連結極有可能是駭客用來觸發漏洞的陷阱。記住,正版服務不會透過這種奇怪的方式送禮。
3. 密碼不要「一套用到底」 很多人為了方便,Google、Facebook、Claude 全部用同一組密碼。這樣一旦其中一個網站外洩,駭客只要拿到密碼,就可以嘗試在所有平台登入。建議使用密碼管理工具,給 Claude 設定一組獨一無二的複雜密碼。
額外提醒:AI 代理人的風險
除了帳號被盜,最近還發生過 Claude 的 AI Agent(就是可以幫你自動執行任務的 AI 助手)因為「猜測」而把公司整個資料庫刪掉的慘劇。這告訴我們,無論是帳號安全還是 AI 操作,**「人類監督」**永遠是最後一道防線。
總結:安全比方便更重要
我們習慣了 AI 帶來的便利,但往往忘了資安意識。就像我們在台灣網購時會擔心個資外洩一樣,使用 AI 工具時也要保持警覺。不要以為設定了 2FA 就可以完全放心地把所有機密都丟給 AI,適度的備份和謹慎的點擊習慣,才是最好的保護。
現在就打開 Claude 檢查你的登入紀錄,確保你的帳號只有你在使用!