Зашел в чат – остался без планов на жизнь. Claude теперь выдаёт секреты владельца по первому требованию взломщиков
Уязвимость в Claude.ai открыла хакерам доступ к личным архивам и истории переписки.
Обычная ссылка на чат с ИИ может обернуться ловушкой. Специалисты Oasis Security показали, что в Claude.ai достаточно перейти по «правильному» адресу и нажать Enter – и помощник начнёт выполнять скрытые команды, о которых пользователь даже не подозревает.
Речь идёт о цепочке уязвимостей под названием Claudy Day. Проблема затрагивала сервис Claude.ai и платформу claude.com. В связке ошибки позволяли незаметно внедрить инструкции в запрос, заставить ИИ собрать личные данные и отправить их злоумышленнику.
Атака выглядела просто. Claude.ai поддерживает открытие нового чата с уже заполненным текстом через специальный параметр в ссылке. В такой параметр удалось вставить скрытые HTML-теги. Пользователь видел обычный текст запроса, но при отправке Claude обрабатывал и невидимую часть, где могли находиться команды на сбор данных.
Дальше включался второй этап. Встроенная среда выполнения кода ограничивает доступ к внешним серверам, но разрешает соединение с api.anthropic.com. Злоумышленник добавлял в скрытую часть запроса свой ключ доступа и приказывал Claude найти в истории переписки конфиденциальные сведения, сохранить их в файл и загрузить через интерфейс работы с файлами в учётную запись атакующего. После этого данные можно было спокойно скачать.
Третья проблема касалась перенаправлений на сайте claude.com. Любая ссылка вида /redirect/ вела на внешний ресурс без проверки. Злоумышленники могли разместить рекламу в поиске с адресом claude.com, который выглядел надёжно, но на деле отправлял жертву на страницу со встроенной атакой. В итоге пользователь попадал не на фишинговое письмо, а на «правильный» результат поиска, который сложно отличить от настоящего.
Даже без подключённых интеграций Claude имеет доступ к истории разговоров и памяти. Через такие атаки можно извлечь деловые планы, финансовые данные, сведения о здоровье или личные данные. Если же подключены внешние сервисы и корпоративные инструменты, масштаб проблемы резко растёт – помощник получает возможность читать файлы, обращаться к программным интерфейсам и выполнять действия от имени пользователя.
Часть уязвимостей уже закрыли. В частности, разработчик Anthropic устранил проблему с внедрением скрытых команд. Остальные недочёты продолжают исправлять.