Der LinkedIn-Post von Cybersecurity News verlinkt auf eine Analyse von Oasis Security: Unter dem Namen Claudy Day wurden drei Schwachstellen in Claude.ai offengelegt, die zusammen Datenabfluss und Phishing ermöglichten. Hier ein kompakter Überblick mit Handlungsempfehlungen.

Die drei Bausteine der Attacke

Schwachstelle Beschreibung Risiko
1. Unsichtbare Prompt-Injection claude.ai/new?q= erlaubt vorbefüllte Prompts. HTML-Tags konnten unsichtbar im Eingabefeld landen, aber trotzdem ausgeführt werden. Angreifer schleusen versteckte Befehle ein, ohne dass der Nutzer es merkt.
2. Exfiltration via Files API Claude darf im Sandbox-Modus mit api.anthropic.com sprechen. Instruiert man es, Konversationen zu durchsuchen, kann es Dateien erstellen und mit einem fremden API-Key hochladen. Gesprächsverläufe, Profile, sensible Texte verlassen den Tenant.
3. Open Redirect auf claude.com claude.com/redirect/<target> leitete ungeprüft weiter. Kombiniert mit Google Ads wirkt jeder Link vertrauenswürdig. Opfer klicken auf echte Claude-Links, landen aber auf der Injektions-URL.

Kette: Google Ad (claude.com/redirect) → versteckter Prompt im neuen Chat → Claude liest Historie und lädt sie zum Angreifer hoch. Kein MCP, keine Tools nötig.

Status laut Anthropic

  • Prompt-Injection wurde gepatcht.
  • Open Redirect & Files-Abuse werden „adressiert“ (Stand: März 2026).
  • Responsible Disclosure durch Oasis Security, Publikation der technischen Analyse inkl. Whitepaper.

Warum das relevant ist

  • Shadow AI: Nutzer teilen hochsensible Daten (M&A, Gesundheit, Legal) in Chat-Historien.
  • Agent Exfiltration: Selbst ohne Integrationen kann ein Agent seine Memory/History auslesen und exfiltrieren.
  • Targeted Ads: Customer Match ermöglicht es Angreifern, spezifische Führungskräfte via Google Ads anzusprechen.
  • Enterprise Add-ons: Mit MCP-Tools/Integrationen wäre Zugriff auf Dateien, APIs, Messaging-Dienste möglich.

Maßnahmen für Unternehmen

  1. Link Hygiene: Blockiere claude.com/redirect/* auf Secure Web Gateways, bis fix bestätigt ist. Setze URL-Parsing für KI-Links auf „explizit anzeigen“.
  2. Prompt-Firewalls: Bei geteilten Claude-Links warnen, dass vorgefüllte Prompts versteckte Instruktionen enthalten können.
  3. Agent Governance: Inventur aller AI-Agents, welche Daten/Integrationen sie sehen (Shadow-AI-Map). Nicht benötigte Tools deaktivieren.
  4. Least Privilege für Claude: Gesprächshistorie regelmäßig löschen, Enterprise Controls nutzen (Session Limits, Export Policies).
  5. Monitoring: Logs auf Anomalien (z. B. große Files via Anthropic Files API). JIT-Zugriff + Audit Trail für Agents.
  6. Awareness-Kampagne: Neue Phishing-Story im Security-Awareness-Programm – „Vorbefüllte KI-Links können Malware enthalten“.

Learnings für AI-Security

  • UI-Funktionen = Attack Surface. Selbst Feature-Links (prefill prompt) müssen sanitisiert werden.
  • Agents handeln eigenständig. Sobald sie Dateien schreiben können, sind klassische DLP/Firewall-Kontrollen umschifft.
  • Identity ≠ nur Mensch. Agent-Identitäten brauchen dieselben Policies wie Service Accounts (Intent-Prüfung, Scoping, JIT-Zugriff).
  • Zero Trust auch für Prompts. Eingaben aus Links, Ads, Community-Foren sollten mit Detektoren (Regex, HTML-Filter) geprüft werden.

Fazit

Claudy Day zeigt denselben Trend wie die OpenClaw-Schwachstelle: Ein manipuliertes Input reicht, wenn Agents hohe Berechtigungen besitzen. Organisationen müssen KI-Chatbots und -Agents wie vollwertige Identitäten behandeln – inklusive Inventur, Rechte-Management und Monitoring.

Quellen: Cybersecuritynews.com, Oasis Security Research, LinkedIn (#cybersecuritynews).