14 lipca 2026 roku firma Tego AI ujawniła, że Claude Tag reaguje na każdą wiadomość zawierającą tekst @Claude — nawet jeśli nie jest to prawdziwe oznaczenie Slacka — co pozwala atakującym na wstrzyknięcie poleceń i wy... Luka nakłada się na inne incydenty z połowy 2026 roku: ukryty mechanizm geolokalizacji w Claude...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security vulnerability did Tego AI disclose about Anthropic's Claude Tag Slack integration,. Article summary: Here is a fact-checked breakdown of all three layers of your question.. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
14 lipca 2026 roku firma Tego AI opublikowała badania, które ujawniły krytyczną słabość w Claude Tag — natywnej integracji Slacka od Anthropica . Naukowcy z Tego AI zaobserwowali, że Claude Tag odpowiada na każdą wiadomość w Slacku zawierającą dosłowny tekst
@Claude — nawet jeśli wiadomość nie była faktycznie do niego skierowana przez prawdziwe strukturalne oznaczenie Slacka .
Atakujący, który uzyska dostęp do kanału Slacka, może wstrzyknąć @Claude do wiadomości pochodzącej z botów, webhooków lub zautomatyzowanych źródeł danych, co sprawi, że agent odczyta wiadomość, zinterpretuje jej kontekst i potencjalnie wykona nieautoryzowane działania firmowe — takie jak odczyt wrażliwych danych, wywołanie narzędzi czy interakcja z podłączonymi systemami — bez rzeczywistej zgody nadawcy i autoryzacji .
Innymi słowy: mechanizm wyzwalający może zostać sfałszowany, zamieniając legalną funkcję współpracy w powierzchnię ataku polegającą na wstrzyknięciu, gdzie każda wiadomość zawierająca ciąg znaków wyzwalacza może przejąć uwagę i możliwości agenta.
Anthropic uruchomił Claude Tag 23 czerwca 2026 roku jako bezpośredni zamiennik starszej integracji "Claude w Slacku" (wycofanej 3 sierpnia 2026 roku) . Nie jest to chatbot dla pojedynczego użytkownika. Zamiast tego Claude Tag to stały, współdzielony uczestnik kanału Slacka, posiadający własną tożsamość, pamięć i dostęp do narzędzi. Każdy autoryzowany członek kanału może oznaczyć
@Claude, aby przypisać zadania, a AI pracuje asynchronicznie na widoku .
Działa w trybie „ambientalnym”, stale śledząc rozmowy, ucząc się kontekstu kanału i proaktywnie wtrącając się, by sygnalizować aktualizacje lub wyłapywać zadania . Jego uprawnienia są ograniczone do kanału, w którym się znajduje, a nie do konkretnego użytkownika, co pozwala administratorom konfigurować różne zestawy narzędzi, dostęp do danych i limity wydatków dla każdego kanału
.
W tle każda sesja Claude Tag działa na modelu Opus 4.8 wewnątrz mikroVM zarządzanego przez Anthropica, z poświadczeniami konektorów przechowywanymi poza maszyną wirtualną, proxyowanym dostępem sieciowym i narzędziami tylko do odczytu dla izolacji . Użycie kanału jest rozliczane organizacji według stawek API, a nie na miejscówkę, co odwraca tradycyjne modele cenowe oprogramowania dla firm
.
Odkrycie Tego AI nie jest odosobnione. Nakłada się na dwa inne poważne incydenty z połowy 2026 roku, które razem ukazują kryzys w bezpieczeństwie agentów AI w przedsiębiorstwach.
30 czerwca 2026 roku niezależny badacz „Thereallo” dokonał inżynierii wstecznej Claude Code i odkrył zaciemniony JavaScript, który po cichu pobierał odciski palców lokalizacji geograficznej użytkowników (poprzez sprawdzanie stref czasowych) oraz modyfikował prompty systemowe przy użyciu podobnych znaków Unicode — na przykład kręconego apostrofu zamiast prostego, ukośnika zamiast myślnika — aby stworzyć ukryty znacznik śledzący wykrywalny przez backend Anthropica . Chińska Narodowa Baza Podatności (NVDB) wydała formalne ostrzeżenie o „backdoorze” 8 lipca, obejmujące wersje Claude Code od 2.1.91 do 2.1.196
. Alibaba zakazała używania Claude Code wewnętrznie wkrótce potem
. Anthropic nazwał to „eksperymentem anty-nadużyciowym” i usunął mechanizm 1 lipca
.
Infrastruktura Model Context Protocol (MCP), która leży u podstaw Claude Tag i wielu innych agentów AI, zawiera systemowe wady projektowe. Kluczowe odkrycia z 2026 roku:
exec() lub wstrzyknięć powłoki, a 13% to path traversal Firmy wdrażające Claude Tag i podobne narzędzia agentowej AI stają w obliczu potrójnego zagrożenia: powierzchni ataku przez wstrzyknięcie promptu w warstwie wyzwalacza agenta (odkrycie Tego AI), nieprzejrzystego śledzenia po stronie dostawcy w narzędziach agenta (ukryty tracker Claude Code) oraz fundamentalnie niebezpiecznych domyślnych ustawień infrastruktury w ekosystemie MCP, który łączy agentów z narzędziami i danymi.
Błędy w zarządzaniu tożsamością i dostępem szybko eskalują, gdy stały agent, taki jak Claude Tag, ma szeroki dostęp do narzędzi i może być wyzwalany przez sfałszowane wzmianki . Tradycyjne zarządzanie API jest niewystarczające dla obiegów pracy agentów, ponieważ agenci nie przestrzegają modeli uprawnień na użytkownika ani schematów żądanie-odpowiedź
. Ryzyko w łańcuchu dostaw jest ogromne: podatność w referencyjnej implementacji MCP rozprzestrzenia się na każde wdrożenie niższego szczebla
. Przejrzystość i audytowalność pozostają kluczowymi problemami — tracker Claude Code był zaciemniony w zminimalizowanym JavaScript i odkryty dopiero przez zewnętrzną inżynierię wsteczną, co oznacza, że zespoły bezpieczeństwa w firmach nie mogą polegać na samodzielnym ujawnianiu informacji przez dostawców
.
Eskalacja regulacyjna już trwa — chiński NVDB wydał ostrzeżenia na poziomie państwowym, a firmy takie jak Alibaba wprowadziły całkowite zakazy . Całościowy obraz jest taki, że bezpieczeństwo agentów AI w przedsiębiorstwach w 2026 roku wymaga fundamentalnie nowego podejścia — takiego, które traktuje stałych agentów jako krytyczną infrastrukturę z rygorystyczną kontrolą tożsamości, dostępu i łańcucha dostaw.
@Claude, nawet z automatycznych źródeł, umożliwiając ataki typu prompt injection Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
14 lipca 2026 roku firma Tego AI ujawniła, że Claude Tag reaguje na każdą wiadomość zawierającą tekst @Claude — nawet jeśli nie jest to prawdziwe oznaczenie Slacka — co pozwala atakującym na wstrzyknięcie poleceń i wy...
14 lipca 2026 roku firma Tego AI ujawniła, że Claude Tag reaguje na każdą wiadomość zawierającą tekst @Claude — nawet jeśli nie jest to prawdziwe oznaczenie Slacka — co pozwala atakującym na wstrzyknięcie poleceń i wy... Luka nakłada się na inne incydenty z połowy 2026 roku: ukryty mechanizm geolokalizacji w Claude Code [31][34] oraz systemowe wady w protokole MCP, gdzie 38% z 560 przebadanych serwerów nie ma żadnego uwierzytelnienia...