Claudy Day: trzy podatności w Claude otwierały drogę do kradzieży danych użytkowników

Wprowadzenie do problemu / definicja

„Claudy Day” to nazwa łańcucha ataku, w którym połączono trzy odrębne słabości w ekosystemie Claude. Badacze pokazali, że zestawienie problemów związanych z integralnością promptów, otwartym przekierowaniem oraz mechanizmem obsługi plików mogło doprowadzić do cichej eksfiltracji danych z sesji użytkownika.

To ważny przykład nowej klasy zagrożeń dla systemów generatywnej AI. W tym modelu ataku użytkownik nie musi uruchamiać złośliwego oprogramowania ani instalować dodatkowych narzędzi — wystarczy kliknięcie w wiarygodnie wyglądający link prowadzący do legalnie kojarzonego środowiska.

W skrócie

W opisanym scenariuszu napastnik mógł przygotować odnośnik z predefiniowanym promptem zawierającym ukryte instrukcje, a następnie opakować go w otwarte przekierowanie wyglądające jak legalny link do usługi. Ofiara widziała pozornie nieszkodliwy interfejs, podczas gdy model przetwarzał także niewidoczne polecenia.

W praktyce taki łańcuch umożliwiał przejęcie treści rozmów, zebranie wrażliwych informacji i ich przesłanie do zasobu kontrolowanego przez atakującego. To pokazuje, że bezpieczeństwo agentów AI zależy nie tylko od samego modelu, ale również od aplikacji, logiki przekierowań i zakresu uprawnień narzędziowych.

Kontekst / historia

Ryzyko prompt injection od dawna jest wskazywane jako jeden z podstawowych problemów bezpieczeństwa generatywnej AI. Przez długi czas zagadnienie to analizowano jednak głównie w kontekście pojedynczej rozmowy, błędnej interpretacji instrukcji lub omijania polityk bezpieczeństwa modelu.

Przypadek „Claudy Day” pokazał, że sytuacja staje się znacznie groźniejsza, gdy prompt injection zostaje połączone z klasycznymi podatnościami aplikacyjnymi i funkcjami integracyjnymi platformy. Wówczas zwykła manipulacja treścią wejściową może przekształcić się w pełny łańcuch prowadzący do wycieku danych.

Szczególnie duże znaczenie ma to w środowiskach firmowych. Nowoczesne asystenty AI coraz częściej mają dostęp do historii rozmów, plików, pamięci kontekstowej, interfejsów API, narzędzi zewnętrznych oraz konektorów do usług biznesowych. W takich warunkach naruszenie integralności promptu może oznaczać realny incydent bezpieczeństwa obejmujący dane przedsiębiorstwa.

Analiza techniczna

Łańcuch ataku składał się z trzech głównych elementów. Pierwszym była możliwość dostarczenia ukrytych instrukcji w prewypełnionym promptcie. Napastnik przygotowywał adres prowadzący do nowej rozmowy, w którym parametr zapytania zawierał zarówno tekst widoczny dla użytkownika, jak i dodatkowe polecenia osadzone w sposób utrudniający ich zauważenie.

Z perspektywy użytkownika otwierana rozmowa mogła wyglądać normalnie i nie wzbudzać podejrzeń. Z perspektywy modelu cały prompt — w tym ukryte fragmenty — pozostawał jednak częścią wejścia podlegającego interpretacji i wykonaniu.

Drugim elementem było otwarte przekierowanie. Dzięki niemu atakujący mógł posłużyć się adresem sprawiającym wrażenie legalnego i pochodzącego z zaufanej domeny. Takie rozwiązanie zwiększało wiarygodność linku w wynikach wyszukiwania, kampaniach reklamowych czy innych kanałach dystrybucji.

Trzecim komponentem była możliwość wykorzystania interfejsu plików do eksfiltracji danych. Ukryte instrukcje mogły nakazać agentowi zebranie treści z rozmowy, zapisanie ich do pliku, a następnie przesłanie tego pliku przy użyciu klucza API kontrolowanego przez napastnika. W efekcie transfer danych odbywał się w ramach natywnej funkcjonalności ekosystemu, a nie jako odrębna, oczywiście podejrzana akcja.

Technicznie jest to atak na granicę zaufania pomiędzy warstwą interfejsu użytkownika a warstwą wykonawczą agenta. Użytkownik ocenia bezpieczeństwo na podstawie tego, co widzi w polu tekstowym i pasku adresu, natomiast system może działać na pełnym wejściu, obejmującym także elementy ukryte lub zamaskowane w mechanice aplikacji.

• Ukryte instrukcje były osadzane w predefiniowanym promptcie.
• Otwarte przekierowanie podnosiło wiarygodność złośliwego odnośnika.
• Mechanizm plików mógł zostać użyty jako kanał cichego wyprowadzenia danych.
• Zakres ryzyka rósł wraz z liczbą aktywnych narzędzi, konektorów i integracji.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem takiego ataku jest utrata poufności danych. Zagrożona może być historia rozmów, pamięć kontekstowa, treści wpisywane przez użytkownika, analizowane dokumenty, fragmenty kodu, dane osobowe, a nawet informacje biznesowe o wysokiej wartości.

W środowiskach enterprise ryzyko rośnie znacząco. Jeśli agent AI ma dostęp do plików, narzędzi, integracji i systemów organizacji, pojedyncza iniekcja promptu może stać się punktem wejścia do znacznie szerszego nadużycia. Problem przestaje być wtedy błędem ograniczonym do jednej aplikacji i staje się elementem większej powierzchni ataku.

Dodatkowym wyzwaniem jest detekcja. Użytkownik może nie zauważyć niczego nietypowego, ponieważ interfejs wygląda poprawnie, a działania modelu mieszczą się w ramach legalnych funkcji produktu. Dla zespołów SOC i IR oznacza to bardziej złożoną analizę niż w klasycznych przypadkach phishingu czy prostych ataków webowych.

Rekomendacje

Organizacje wdrażające agentów AI powinny traktować integralność promptu jako krytyczny element architektury bezpieczeństwa. Należy ograniczać lub całkowicie blokować automatyczne wczytywanie predefiniowanych promptów z parametrów URL, a także walidować nietypowe konstrukcje wejściowe i usuwać możliwość ukrywania instrukcji.

Równie ważne jest wyeliminowanie otwartych przekierowań. Nawet pozornie mało istotny błąd w logice redirectów może zwiększyć skuteczność ataku, ponieważ pozwala budować linki wyglądające na legalne i wzmacnia zaufanie ofiary.

Kluczowe znaczenie ma również zasada najmniejszych uprawnień. Agent AI nie powinien mieć domyślnie szerokiego dostępu do plików, pamięci organizacyjnej, konektorów i narzędzi zewnętrznych. Każde rozszerzenie uprawnień powinno być uzasadnione i najlepiej wymagać świadomej zgody użytkownika.

• Ograniczyć prewypełniane prompty przekazywane przez URL.
• Usunąć otwarte przekierowania i wdrożyć ścisłą walidację adresów docelowych.
• Stosować zasadę najmniejszych uprawnień dla agentów i narzędzi.
• Logować użycie API plików, konektorów i eksportów danych.
• Wdrożyć monitoring nietypowych uploadów oraz działań inicjowanych tuż po otwarciu sesji.
• Regularnie testować aplikacje AI pod kątem prompt injection i scenariuszy łańcuchowych.
• Szkolić użytkowników, że legalnie wyglądający link nie gwarantuje bezpieczeństwa.

Podsumowanie

„Claudy Day” pokazuje, że praktyczne ataki na systemy AI coraz częściej powstają na styku klasycznych podatności aplikacyjnych i mechaniki działania modeli generatywnych. To nie tylko problem samego modelu, ale całego łańcucha obejmującego link, interfejs, logikę aplikacji, uprawnienia agenta i kanały transferu danych.

Dla organizacji najważniejszy wniosek jest jasny: agent AI z dostępem do danych i narzędzi należy traktować jak uprzywilejowany komponent wykonawczy. Bez twardych ograniczeń uprawnień, kontroli integralności promptów i monitoringu operacji nawet pojedyncze kliknięcie może uruchomić scenariusz prowadzący do wycieku informacji.

Źródła

1. Dark Reading — https://www.darkreading.com/vulnerabilities-threats/claudy-day-trio-flaws-claude-users-data-theft
2. Anthropic Docs: Files API — https://docs.anthropic.com/en/docs/build-with-claude/files
3. Anthropic — New capabilities for building agents on the Anthropic API — https://www.anthropic.com/news/agent-capabilities-api/
4. Anthropic — Coordinated vulnerability disclosure for Claude-discovered vulnerabilities — https://www.anthropic.com/coordinated-vulnerability-disclosure