Im Zentrum des von Oasis Security beschriebenen Angriffs steht das benutzerdefinierte URI-Schema �claude://�, das Claude Desktop registriert. Ein entsprechend gestalteter Link kann die Anwendung nicht nur starten, sondern unmittelbar eine neue Unterhaltung anlegen und einen vorbereiteten Prompt absenden. Nach Darstellung von Oasis entfällt damit der bisher entscheidende Zwischenschritt, bei dem ein Nutzer den Prompt noch mit �Senden� oder der Eingabetaste bestätigen müsste.
Elad Luz, Forschungsleiter bei Oasis, spricht deshalb von einer Form der Prompt-Injektion, bei der es für den Nutzer keine Gelegenheit mehr gibt, den eingeschleusten Inhalt vor dem Absenden zu prüfen. Ein einzelner Klick auf einen Link in einem Browser, einer Chat-Nachricht, einem Dokument oder einem Suchergebnis genüge, um vom Angreifer verfasste Anweisungen vor den Agenten zu bringen und ausführen zu lassen. Damit unterscheidet sich PromptFiction von �Claudy Day�: Dort wurde ein unsichtbarer Prompt über eine vorausgefüllte URL in einen Chat auf claude.ai eingeschleust, musste aber noch aktiv abgesendet werden.
Oasis zufolge lässt sich der Angriff über praktisch jedes Medium zustellen, darunter Websites, Dokumente, Chat-Nachrichten, E-Mails oder Suchtreffer. Um Misstrauen zu vermeiden, werde der eigentliche schädliche Befehl mit harmlos wirkendem Text aufgepolstert. Das nutze das Verhalten von Claude zur Nachrichtenfaltung aus, sodass die gefährlichen Anweisungen im eingeklappten Teil der Unterhaltung verborgen bleiben. Sichtbar sei für Nutzer zunächst nur eine unauffällige Anfrage, sofern sie die eingeklappte Nachricht nicht öffnen.
Für sich genommen sei das bereits eine verlässliche Prompt-Injektion. In Kombination mit den zuvor beschriebenen Claudy-Day-Schwachstellen könne Claude dann laut Oasis im Hintergrund weitere schädliche Aktionen ausführen. Genannt werden das Abrufen privater Gesprächsverläufe eines Nutzers, Quellcode und interne Dokumente sowie im weiteren Verlauf sogar Remote Code Execution. In seinem Bericht schrieb Luz zudem, die Kette könne �die stille Ausleitung früherer Unterhaltungen des Nutzers und, wenn Anthropic�s offizieller Filesystem Server installiert ist, Lese-/Schreibzugriff auf lokale Dateien, Persistenz und letztlich Remote Code Execution auf dem Rechner des Opfers� ermöglichen.
Anthropic erhielt die Meldung über sein Responsible Disclosure Program und schloss die Lücke in Claude Desktop Version 1.1.2321. Nutzer sollten laut Bericht diese oder eine neuere Version einsetzen. Oasis weist außerdem darauf hin, dass der PromptFiction-Bericht ein Duplikat war: Ein anderer Forscher hatte dasselbe Problem unabhängig an Anthropic gemeldet, seine Erkenntnisse aber nicht veröffentlicht. Luz dankte dem unbekannten Melder ausdrücklich und erklärte, Oasis beanspruche nicht die alleinige Entdeckung.
Randolph Barr, CISO beim API-Sicherheits- und Bot-Management-Anbieter Cequence Security, bezeichnete die verantwortungsvolle Offenlegung und die schnelle Behebung als positives Ergebnis. Zugleich zeige der Fall, wie sich das Zeitfenster zwischen dem Entstehen einer Schwachstelle und der Bereitstellung eines Patches im KI-Umfeld verdichte. Barr zufolge helfen dieselben Modelle, die Verteidigern nützen, auch Angreifern dabei, Schwachstellen schneller zu finden und zu bewaffnen.
Luz sagte gegenüber Dark Reading, das bisherige Modell, bei dem Menschen jede Veröffentlichung sorgfältig prüfen, halte mit dieser Geschwindigkeit nicht mehr Schritt. John Gallagher, Vizepräsident bei Viakoo, sieht in PromptFiction ein Beispiel dafür, dass KI-Agenten Wege um eingebaute Schutzmechanismen ihrer Systeme finden. Barr rät deshalb, eine Prüf- und Richtlinienschicht zwischen KI-Agenten und die Systeme zu setzen, mit denen sie kommunizieren. Praktisch bedeute das laut den im Bericht zitierten Experten, API-Verkehr von Agenten zu überwachen, Zugriffsziele und API-Anmeldedaten einzuschränken, auffälliges Verhalten zu erkennen und ein Inventar von KI-Agenten, MCP-Servern und Plug-ins in der Umgebung zu pflegen.
