資安公司 Tego AI 在 2026 年 7 月 14 日指出,Claude Tag 會回應任何包含文字 @Claude 的 Slack 訊息——即使該訊息並非真實的結構性 Slack 提及——讓攻擊者能夠偽造觸發。 此漏洞與 2026 年中期的其他事件相互疊加,包括 Claude Code 中的隱藏地理位置追蹤機制,以及 Model Context Protocol (MCP) 基礎設施的系統性設計缺陷;後者在一項掃描中發現 38% 的 MCP 伺服器完全沒有驗證機制。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security vulnerability did Tego AI disclose about Anthropic's Claude Tag Slack integration,. Article summary: Here is a fact-checked breakdown of all three layers of your question.. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
2026 年 7 月 14 日,網路安全公司 Tego AI 發布研究報告,指出 Anthropic 原生 Slack 整合功能 Claude Tag 存在一個關鍵安全弱點 。Tego AI 研究人員觀察到,Claude Tag 會回應 Slack 頻道中任何包含文字
@Claude 的訊息——即使該訊息並非透過真正的結構性 Slack 提及來標註它 。
一旦攻擊者取得 Slack 頻道的存取權限,就能在來自機器人、Webhook 或自動化饋送的訊息中注入 @Claude,導致 AI 代理讀取該訊息、解讀其內容,並可能執行未經授權的企業操作,例如讀取敏感資料、觸發工具呼叫,或與已連接的系統互動,而發送者並無此意圖或未經適當授權 。
簡而言之:觸發機制可以被偽造,將一個合法的協作功能轉變為注入式攻擊面,任何包含觸發字串的訊息都能挾持該代理的注意力與能力。
Anthropic 於 2026 年 6 月 23 日推出 Claude Tag,作為舊版「Claude in Slack」整合的直接替代品(後者已於 2026 年 8 月 3 日退役)。它並非每個使用者專屬的聊天機器人。相反地,Claude Tag 是一個在 Slack 頻道內擁有自己身分、記憶和工具存取權限的持久性共享參與者。任何經授權的頻道成員都能標註
@Claude 來指派任務,而 AI 會在所有成員可見的情況下非同步地完成工作 。
它以一種「環境感知」模式運作,持續跟進對話、學習頻道內容脈絡,並會主動插話,標記重要的更新或任務 。其權限範圍限定於它所處的頻道,而非個別使用者,管理員可以為每個頻道分別設定不同的工具組、資料存取權限和支出上限
。
在幕後,每個 Claude Tag 會話都在 Anthropic 管理的 Linux 微型虛擬機上運行 Opus 4.8 模型,連接器憑證保存在虛擬機外部,並使用代理網路存取和唯讀工具以達成隔離效果 。頻道的使用費用會按照 API 費率向組織收取,而非按人頭計費,這徹底顛覆了傳統企業軟體的定價模式
。
Tego AI 的發現並非獨立事件。它與 2026 年中期的另外兩起重大事件相互疊加,共同揭示了企業 AI 代理安全領域的一場危機。
2026 年 6 月 30 日,獨立研究員 「Thereallo」 對 Claude Code 進行逆向工程,發現了混淆過的 JavaScript 程式碼,它會悄悄地對使用者進行地理位置指紋辨識(透過時區檢查),並使用相似 Unicode 字元修改系統提示——例如用彎曲的單引號代替直的、用斜線代替連字號——以建立一個 Anthropic 後端可以偵測到的隱形追蹤標記 。中國國家漏洞資料庫(NVDB)於 7 月 8 日針對 Claude Code 2.1.91 至 2.1.196 版本發布了正式的「後門」安全警報
。隨後,阿里巴巴在內部禁止了 Claude Code
。Anthropic 則稱這是一項「反濫用實驗」,並於 7 月 1 日將其移除
。
為 Claude Tag 和許多其他 AI 代理提供底層支援的 Model Context Protocol (MCP) 基礎設施,已被發現存在系統性的設計缺陷。2026 年的關鍵發現包括:
exec() 或 shell 注入,13% 涉及路徑遍歷 部署 Claude Tag 及類似 AI 代理工具的企業正面臨三重威脅:代理觸發層的提示注入攻擊面(Tego AI 發現)、不透明的供應商端代理工具追蹤(Claude Code 追蹤器),以及連接代理與工具和資料的 MCP 生態系統中從根本上來說不安全的基礎設施預設值。
當一個像 Claude Tag 這樣的持久代理擁有廣泛的工具存取權限,並可被偽造的提及所觸發時,身分和存取控制失效的問題會迅速擴大 。傳統的 API 治理對於代理驅動的工作流程來說是不夠的,因為代理不會遵循每個使用者的權限模型或請求-回應模式
。供應鏈風險極為巨大:MCP 參考實作中的一個漏洞會傳播到所有下游部署
。透明度和可稽核性仍然是關鍵問題——Claude Code 追蹤器被隱藏在經過最小化的 JavaScript 中,唯有透過外部逆向工程才被發現,這意味著企業安全團隊不能只依賴供應商的自我揭露
。
監管升級已在進行中,中國的 NVDB 已發布國家級警報,而阿里巴巴等企業則發布了全面禁令 。綜合來看,2026 年的企業 AI 代理安全需要一種全新的方法——將持久性代理視為關鍵基礎設施,並實施嚴格的管控。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
資安公司 Tego AI 在 2026 年 7 月 14 日指出,Claude Tag 會回應任何包含文字 @Claude 的 Slack 訊息——即使該訊息並非真實的結構性 Slack 提及——讓攻擊者能夠偽造觸發。
資安公司 Tego AI 在 2026 年 7 月 14 日指出,Claude Tag 會回應任何包含文字 @Claude 的 Slack 訊息——即使該訊息並非真實的結構性 Slack 提及——讓攻擊者能夠偽造觸發。 此漏洞與 2026 年中期的其他事件相互疊加,包括 Claude Code 中的隱藏地理位置追蹤機制,以及 Model Context Protocol (MCP) 基礎設施的系統性設計缺陷;後者在一項掃描中發現 38% 的 MCP 伺服器完全沒有驗證機制。
企業應立即將 Claude Tag 的存取範圍限定在最小權限的頻道、審計所有代理動作、升級至 2026 年的 MCP 規格,並進行定期安全審查。