SchwachstellenKI-SicherheitPhishing

„Claudy Day”: Sicherheitslücken in Anthropics Claude ermöglichen Datenlecks durch manipulierte Links

„Claudy Day”: Sicherheitslücken in Anthropics Claude ermöglichen Datenlecks durch manipulierte Links
Zusammenfassung

Sicherheitsforscher der Firma Oasis Security haben eine kritische Angriffskette gegen Anthropics KI-Assistent Claude entdeckt, die aus drei verketteten Sicherheitslücken besteht. Die nach dem Forschern benannte "Claudy Day"-Attacke ermöglicht es Angreifern, über präparierte Google-Suchergebnisse ahnungslose Nutzer auf manipulierte Claude-Seiten zu locken, in denen unsichtbare Anweisungen eingebettet sind. Dadurch können sensible Daten aus Nutzergesprächen stillschweigend abgezogen werden, ohne dass der Benutzer davon erfährt. Die Lücken umfassen eine unsichtbare Prompt-Injection über URL-Parameter, einen Datenabflusskanal über Anthropics Files-API und eine Open-Redirect-Anfälligkeit. Für deutsche Nutzer bedeutet dies ein erhebliches Datenschutzrisiko, besonders wenn sie Claude im beruflichen Kontext mit Zugriff auf Unternehmenstools einsetzen. Auch für deutsche Unternehmen und Behörden, die Claude in ihre Workflows integrieren, stellt diese Angriffskette eine ernsthafte Bedrohung dar – potentiell können Angreifer über injizierte Anweisungen auf verbundene Systeme, APIs und sensitive Informationen zugreifen. Anthropic hat bereits eine Lücke geschlossen, arbeitet aber noch an den weiteren Fixes. Die Entdeckung unterstreicht die wachsende Bedeutung von Sicherheitsmaßnahmen bei der Nutzung von KI-Agenten in Unternehmen und die Notwendigkeit, deren Zugriff strikt zu beschränken.

Die Sicherheitsforscher beschreiben ein ausgefeiltes Angriffsszenario, das mit einem simplen Klick in Gang gesetzt wird. Der Angreifer beginnt, indem er eine manipulierte URL mit verborgenen Befehlen erstellt. Diese wird in eine Weiterleitungs-URL eingebunden, die von claude.com stammt — wodurch die Adresse vertrauenswürdig wirkt. Anschließend platziert der Angreifer diese URL in einer Google-Anzeige, die Google-Sicherheitsprüfungen besteht und als legitimes Suchergebnis für Claude angezeigt wird.

Wenn ein Nutzer auf das Ergebnis klickt, wird er unauffällig von claude.com zu claude.ai mit vorausgefülltem Prompt weitergeleitet. Der Nutzer sieht nur die harmlose, sichtbare Nachricht im Text-Eingabefeld — nicht die verborgenen Anweisungen, die der Angreifer eingebettet hat. Beim Absenden des Prompts verarbeitet Claude allerdings beide Teile: den sichtbaren und den versteckten.

Die drei identifizierten Schwachstellen sind: eine unsichtbare Prompt-Injection über URL-Parameter, ein Datenexfiltrations-Kanal via Anthropic Files API und eine Open-Redirect-Schwachstelle. Zusammen ermöglichen sie dem Angreifer, auf die Chat-Historie zuzugreifen und sensitive Informationen zu extrahieren — indem Claude die Daten in eine Datei schreibt und über die Files API hochlädt, die der Angreifer dann mit seinem API-Schlüssel abruft.

Die Schwere des Angriffs hängt vom Umfang der Claude-Integration ab. Bei standardmäßigen Chats können Gesprächsverlauf und Erinnerungen geleakt werden. Kritischer wird es, wenn Claude mit MCP-Servern, Tools oder Unternehmensintegrationen verbunden ist — dann kann die Injection Dateien lesen, Nachrichten versenden, auf APIs zugreifen oder mit verbundenen Diensten interagieren.

Oasis Security benachrichtigte Anthropic verantwortungsvoll über die Funde. Anthropic hat die Prompt-Injection-Lücke bereits geschlossen und arbeitet an den anderen beiden Schwachstellen. Für Unternehmen, die Claude in ihre Workflows integriert haben, empfehlen die Forscher, den Zugriff der KI-Tools zu beschränken und explizite Nutzer-Bestätigung vor der ersten Verwendung von Tools zu verlangen. Dies würde eine wichtige zusätzliche Sicherheitsebene schaffen und das Risiko von Prompt-Injection-Angriffen deutlich senken.

Ähnliche Artikel