研究人員揭露攻擊鏈Claudy Day，攻擊者可透過Google搜尋埋藏惡意指令發動

資安公司Oasis Security揭露名為Claudy Day的攻擊手法，指出攻擊者可串連3種漏洞，在未使用惡意軟體或釣魚郵件的情況下，直接竊取使用者在Claude上的對話資料。該攻擊鏈結合3項弱點，包括隱藏式提示注入、Files API濫用，以及claude.com網站的開放式重新導向漏洞，形成完整的資料外洩攻擊流程。Oasis Security強調，攻擊者無須使用其他工具或MCP伺服器，也不用進行任何整合的工作，對開箱即用的Claude.ai連線階段（Session）進行對話內容的竊取。對此，Anthropic在接獲通報後，修補了提示注入問題，其餘兩個弱點仍在進行改善。

在利用Claudy Day的流程中，攻擊者可透過搜尋引擎廣告或偽裝連結，引導使用者點擊已預先填入提示的網址。該網址中的惡意指令會被隱藏在HTML標籤中，使用者在畫面上無法察覺，但實際送往AI模型時會完整執行。

一旦提示注入成功，攻擊者即可操控AI助理執行後續動作。研究顯示，攻擊者會利用Anthropic Files API，將使用者對話記錄打包並上傳至攻擊者控制的帳號，達成資料外洩目的。

再者，攻擊鏈還結合claude.com的開放重新導向機制，使攻擊者可透過合法網域轉址至惡意頁面，進一步繞過安全防護，並降低使用者察覺異狀的機會。

這項攻擊之所以得逞的其中一個原因在於，在於使用者看到的提示內容，與實際送入AI模型的內容不同，造成AI系統在使用者不知情的情況下執行惡意指令。

類似針對AI與使用者解讀差異的攻擊手法，近期也有其他資安公司揭露相關發現。資安公司LayerX揭露名為Poisoned Typeface的攻擊手法，攻擊者僅需透過在網頁上使用自定字型與CSS樣式表，即可讓ChatGPT、Claude、Gemini等AI助理誤判網頁安全性，進而誘導使用者執行惡意指令。