Die Angriffskette setzt sich aus drei Schwachstellen zusammen: einer unsichtbaren Prompt-Injection über URL-Parameter auf Claude.ai, einem Kanal zur Datenausschleusung über die Anthropic Files API sowie einem offenen Redirect auf Claude.ai. Nach Angaben von Oasis hat Anthropic die Prompt-Injection-Schwachstelle bereits behoben und arbeitet an der Beseitigung der übrigen Probleme.

Der Aufbau des Angriffs erfordert Vorarbeit auf Seiten des Täters. Zunächst präpariert dieser eine Injection-URL nach dem Muster claude.ai/new?q= und bettet darin in unsichtbaren HTML-Tags versteckte Ausschleusungsanweisungen samt seines eigenen API-Schlüssels ein. Über den offenen Redirect – per Link der Form claude.com/redirect/<präparierte-URL> – lässt sich die URL so verpacken, dass sie von einer vertrauenswürdigen Anthropic-Domain zu stammen scheint.

Mit dieser Redirect-URL kann der Angreifer eine Google-Anzeige schalten. Google validiert dabei den Hostnamen claude.com und genehmigt die Anzeige, die eine vertrauenswürdige claude.com-Adresse zeigt, die vom echten Claude-Ergebnis nicht zu unterscheiden ist.

Klickt ein ahnungsloser Nutzer auf das vermeintliche Suchergebnis, wird er still von claude.com auf claude.ai weitergeleitet – mit einem vorausgefüllten Prompt, der versteckte Anweisungen enthält. Im Textfeld sieht das Opfer nur den harmlosen, sichtbaren Teil des Prompts. Sendet es diesen ab, verarbeitet Claude sowohl die sichtbaren als auch die vom Angreifer eingebetteten verborgenen Anweisungen.

Damit erhält der Angreifer laut Oasis Zugriff auf den Gesprächsverlauf und kann sensible Daten extrahieren: Claude schreibt die Daten in eine Datei in der Sandbox und lädt sie mit dem eingebetteten API-Schlüssel des Angreifers zu api.anthropic.com (Files API) hoch. Anschließend listet der Angreifer die Dateien in seinem Anthropic-Konto auf, findet den neuen Upload und liest die ausgeschleusten Daten aus.

Die Schwere des Angriffs hängt davon ab, worauf der Agent Zugriff hat. In einem einfachen Claude-Chat ohne Anbindung an andere Systeme kann die Injection auf Gesprächsverlauf und Speicher zugreifen, Informationen aus früheren Chats extrahieren und über die Files API ausschleusen. Sind in der Sitzung MCP-Server, Tools oder Integrationen aktiviert, kann der eingeschleuste Prompt im Namen des Nutzers handeln – etwa Dateien lesen, Nachrichten senden, APIs ansprechen oder mit verbundenen Diensten interagieren; die so gewonnenen Daten lassen sich ebenfalls abziehen.

“Für Organisationen, die KI-Agenten mit Zugriff auf Unternehmenssysteme einsetzen, verdeutlicht diese Angriffskette eine grundlegende Herausforderung: Die Integrität von Prompts kann nicht vorausgesetzt werden, wenn bereits der Auslieferungskanal selbst kompromittierbar ist”, schreibt das Forschungsteam. Als Schutzmaßnahme empfiehlt Oasis, den Zugriff von KI-Werkzeugen einzuschränken, da weitreichender Zugriff das Risiko von Prompt-Injections verstärkt.

“Wenn MCP-Server und Integrationen schon ab der ersten Interaktion ohne jede Nutzerbestätigung verfügbar sind, kann ein einziger eingeschleuster Prompt diese Werkzeuge sofort ausnutzen”, so die Forscher. Eine ausdrückliche Zustimmung des Nutzers vor der ersten Tool-Nutzung würde demnach eine wirksame Hürde schaffen.