Bezpečnostní firma Tego AI 14. července 2026 zjistila, že Claude Tag reaguje na text @Claude ve zprávách od botů a webhooků, aniž by šlo o skutečné zmínění – útočníci tak mohou agenta zneužít k neoprávněným akcím [6].

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security vulnerability did Tego AI disclose about Anthropic's Claude Tag Slack integration,. Article summary: Here is a fact-checked breakdown of all three layers of your question.. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
@Claude – i když tato zpráva nebyla skutečně adresována agentovi pomocí běžného strukturovaného zmínění Útočník, který získá přístup do Slack kanálu, může vložit @Claude do zprávy z botů, webhooků nebo automatických zdrojů. Tím přiměje agenta, aby zprávu přečetl, interpretoval její kontext a potenciálně provedl neoprávněné firemní akce – například četl citlivá data, spouštěl nástroje nebo interagoval s připojenými systémy, a to bez skutečného úmyslu odesílatele nebo patřičného oprávnění .
Stručně řečeno: spouštěcí mechanismus lze podvrhnout. Legitimní funkce pro spolupráci se mění v útočnou plochu založenou na injektáži, kde jakákoli zpráva obsahující spouštěcí řetězec může unést pozornost a schopnosti agenta.
Anthropic spustil Claude Tag 23. června 2026 jako přímou náhradu starší integrace „Claude in Slack" (ta bude vyřazena 3. srpna 2026) . Nejde o chatbota pro jednotlivé uživatele. Claude Tag je trvalý, sdílený účastník ve Slack kanálu s vlastní identitou, pamětí a přístupem k nástrojům. Každý oprávněný člen kanálu může napsat
@Claude a zadat úkoly; AI pracuje asynchronně a otevřeně .
Funguje v „ambientním" režimu – průběžně sleduje konverzace, učí se kontext kanálu a aktivně se ozývá, například aby upozornil na aktualizace nebo úkoly . Jeho oprávnění jsou vázána na kanál, nikoli na jednotlivého uživatele. Správci mohou pro každý kanál nastavit různé sady nástrojů, přístup k datům a limity výdajů
.
V pozadí každá relace Claude Tag běží na modelu Opus 4.8 uvnitř linuxového microVM spravovaného Anthropicem. Přihlašovací údaje konektorů jsou uloženy mimo VM, síťový přístup je proxyován a nástroje jsou v režimu read-only pro izolaci . Využití kanálu je firmě účtováno podle API sazeb, nikoli na uživatele – to obrací tradiční cenové modely podnikového softwaru
.
Nález Tego AI není ojedinělý. Doplňují ho další dva závažné incidenty z poloviny roku 2026, které společně odhalují krizi v bezpečnosti podnikových AI agentů.
Infrastruktura protokolu MCP (Model Context Protocol), která je základem Claude Tag i mnoha dalších AI agentů, obsahuje systémové konstrukční chyby. Klíčová zjištění z roku 2026:
exec() nebo shell injection a 13 % path traversal Podniky nasazující Claude Tag a podobné agentní AI nástroje čelí trojité hrozbě: útočné ploše injektáží do promptů ve spouštěcí vrstvě agenta (nález Tego AI), neprůhlednému sledování na straně dodavatele v nástrojích agenta (Claude Code tracker) a zásadně nezabezpečeným výchozím nastavením infrastruktury v ekosystému MCP, který propojuje agenty s nástroji a daty.
Selhání identity a řízení přístupu se kaskádovitě šíří, když má trvalý agent jako Claude Tag široký přístup k nástrojům a může být spuštěn podvrženým zmíněním . Tradiční správa API pro agentní pracovní postupy nestačí, protože agenti nedodržují model oprávnění na uživatele ani vzor požadavek-odpověď
. Riziko dodavatelského řetězce je obrovské: zranitelnost v referenční implementaci MCP se šíří do všech downstream nasazení
. Transparentnost a auditovatelnost zůstávají kritickými problémy – Claude Code tracker byl obfuskován v minifikovaném JavaScriptu a objeven až externím reverzním inženýrstvím; bezpečnostní týmy firem se nemohou spoléhat na sebeoznámení dodavatele
.
Regulační eskalace již probíhá – čínská NVDB vydala varování na státní úrovni a firmy jako Alibaba uvalily přímé zákazy . Celkový obrázek ukazuje, že bezpečnost podnikových AI agentů v roce 2026 vyžaduje zásadně nový přístup – takový, který považuje trvalé agenty za kritickou infrastrukturu s přísnými kontrolami identity, přístupu a dodavatelského řetězce.
@Claude i z automatických zdrojů, což umožňuje injektážní útoky Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Bezpečnostní firma Tego AI 14. července 2026 zjistila, že Claude Tag reaguje na text @Claude ve zprávách od botů a webhooků, aniž by šlo o skutečné zmínění – útočníci tak mohou agenta zneužít k neoprávněným akcím [6].
Bezpečnostní firma Tego AI 14. července 2026 zjistila, že Claude Tag reaguje na text @Claude ve zprávách od botů a webhooků, aniž by šlo o skutečné zmínění – útočníci tak mohou agenta zneužít k neoprávněným akcím [6]. Zranitelnost se pojí s dalšími incidenty z poloviny roku 2026: skrytý mechanismus sledování v Claude Code [31][34] a systémové chyby v protokolu MCP, kde 38 % serverů nemá žádné ověření [53].