2026 年 7 月 14 日,网络安全公司 Tego AI 披露,Anthropic 的 Slack 集成工具 Claude Tag 会响应任何包含纯文本 @Claude 的消息,即使该消息并非真正的 Slack 结构提及,攻击者可借此伪造提及,诱导 AI 执行未授权操作[6]。 该漏洞与 2026 年中期的其他安全事件相互叠加:包括 Claude Code 中被发现的隐藏地理位置追踪机制[31][34],以及模型上下文协议(MCP)基础设施的系统性设计缺陷——对 560 个 MCP 服务器的扫描发现,38% 的服务器没有任何身份验证[53]。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security vulnerability did Tego AI disclose about Anthropic's Claude Tag Slack integration,. Article summary: Here is a fact-checked breakdown of all three layers of your question.. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
2026 年 7 月 14 日,网络安全公司 Tego AI 发布研究,指出 Anthropic 原生 Slack 集成 Claude Tag 存在一个严重安全弱点 。Tego AI 的研究人员观察到,Claude Tag 会对任何包含纯文本
@Claude 的 Slack 消息做出响应——即使该消息并非通过真正的 Slack 结构提及(即 @提及)发给它的 。
获得 Slack 频道访问权限的攻击者可以在来自机器人、Webhook 或自动化消息源的消息中注入 @Claude,从而诱使该 AI 代理读取消息、理解上下文,并可能执行未授权的企业操作,例如读取敏感数据、触发工具调用或与已连接系统交互,而发送者并无此真实意图或未获得适当授权 。
简而言之:触发机制可以被伪造,将一个合法的协作功能转变为一个基于注入的攻击面,任何包含触发字符串的消息都可能劫持该代理的注意力及其能力。
Anthropic 于 2026 年 6 月 23 日推出 Claude Tag,作为旧版“Claude in Slack”集成的直接替代品(旧版于 2026 年 8 月 3 日退役)。它不是一个供个人使用的聊天机器人。相反,Claude Tag 是 Slack 频道内的一个持久性共享参与者,拥有自己的身份、记忆和工具访问权限
。
它以“环境”模式运行,持续关注对话,学习频道上下文,并主动插话标记更新或提出任务 。它的权限范围限定于其所处的频道,而非针对个人用户,这使得管理员可以为每个频道配置不同的工具集、数据访问权限和消费限额
。
在幕后,每个 Claude Tag 会话都在 Anthropic 管理的 Linux 微虚拟机内运行 Opus 4.8 模型,连接凭证保存在虚拟机之外,网络访问通过代理,并使用只读工具实现隔离 。频道使用量按 API 费率向组织计费,而非按席位收费,这颠覆了传统的企业软件定价模式
。
Tego AI 的发现并非孤立事件。它与 2026 年中期的另外两起重大事件叠加,共同揭示了企业 AI 代理安全的危机。
2026 年 6 月 30 日,独立研究员 “Thereallo” 对 Claude Code 进行了逆向工程,发现了混淆的 JavaScript 代码,该代码会静默对用户的地理位置进行指纹识别(通过时区检查),并使用外观相似的 Unicode 字符(例如,用弯引号代替直引号,用斜杠代替破折号)修改系统提示,从而创建一个 Anthropic 后端可检测到的隐蔽追踪标记 。中国国家信息安全漏洞库(NVDB)于 7 月 8 日发布了正式的“后门”安全警报,涉及 Claude Code 2.1.91 至 2.1.196 版本
。阿里巴巴随后在内部封禁了 Claude Code
。Anthropic 称其为一次“反滥用实验”,并于 7 月 1 日移除了该代码
。
支撑 Claude Tag 及众多其他 AI 代理的模型上下文协议(MCP)基础设施,被发现有系统性的设计缺陷。2026 年的主要发现包括:
exec() 或 shell 注入;13% 涉及路径遍历 部署 Claude Tag 及类似 AI 代理的企业面临着三重威胁:代理触发层的提示注入攻击面(Tego AI 发现)、供应商端不透明的代理工具追踪机制(Claude Code 追踪器),以及连接代理与工具和数据的基础设施——MCP 生态系统中根本性的不安全默认配置。
当像 Claude Tag 这样拥有广泛工具访问权限的持久性代理,可以被伪造的提及触发时,身份和访问控制失效会迅速级联放大 。传统的 API 治理对于代理工作流不足够,因为代理不遵循按用户的权限模型或请求-响应模式
。供应链风险巨大:MCP 参考实现中的一个漏洞会传播到每一个下游部署
。透明度和可审计性仍然是关键问题——Claude Code 追踪器被混淆在压缩的 JavaScript 中,仅通过外部逆向工程才发现,这意味着企业安全团队不能依赖供应商的自我披露
。
监管升级已经开始,中国的 NVDB 发布了国家级警报,阿里巴巴等企业则实施了全面禁令 。综合来看,2026 年的企业 AI 代理安全需要一种全新的方法——将持久性代理视为关键基础设施,并实施严格的身份、访问和供应链控制。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026 年 7 月 14 日,网络安全公司 Tego AI 披露,Anthropic 的 Slack 集成工具 Claude Tag 会响应任何包含纯文本 @Claude 的消息,即使该消息并非真正的 Slack 结构提及,攻击者可借此伪造提及,诱导 AI 执行未授权操作[6]。
2026 年 7 月 14 日,网络安全公司 Tego AI 披露,Anthropic 的 Slack 集成工具 Claude Tag 会响应任何包含纯文本 @Claude 的消息,即使该消息并非真正的 Slack 结构提及,攻击者可借此伪造提及,诱导 AI 执行未授权操作[6]。 该漏洞与 2026 年中期的其他安全事件相互叠加:包括 Claude Code 中被发现的隐藏地理位置追踪机制[31][34],以及模型上下文协议(MCP)基础设施的系统性设计缺陷——对 560 个 MCP 服务器的扫描发现,38% 的服务器没有任何身份验证[53]。
企业部署 Claude Tag 等 AI 代理面临三重威胁:代理触发层的提示注入、供应商端不透明的追踪机制,以及连接代理与工具和数据的 MCP 生态系统的根本性安全缺陷[1][48]。