Исследователи обнаружили критическую уязвимость в приложении Claude Desktop, связанную с обработкой кастомных URL-схем. Злоумышленники могут использовать специально сформированные ссылки `claude://`, чтобы принудительно запустить скрытые промпты в сессии пользователя. Это позволяет внедрять вредоносные инструкции, которые модель исполняет автоматически при переходе по ссылке, что создает серьезные риски для безопасности данных и конфиденциальности взаимодействия с ИИ.
Проблема заключается в том, что приложение не проводит должной валидации входящих параметров при открытии через протокол `claude://`. В результате злоумышленник может подготовить ссылку, которая при клике пользователем не просто открывает чат, а автоматически отправляет заранее заданный текст в поле ввода. Если пользователь уже авторизован, модель может обработать этот запрос как легитимный, что открывает путь к атакам типа prompt injection.
Такие векторы атак особенно опасны в контексте десктопных приложений, которые часто имеют доступ к локальным файлам или контексту текущей рабочей сессии. Эксплуатация уязвимости требует лишь того, чтобы пользователь перешел по ссылке, размещенной на стороннем ресурсе или в электронном письме. Это подчеркивает необходимость строгой изоляции и проверки внешних команд, поступающих в агентные системы и интерфейсы взаимодействия с LLM.
Ключевые факты
- Уязвимость затрагивает протокол `claude://`, используемый для глубоких ссылок в десктопном клиенте Claude.
- Атака позволяет злоумышленнику внедрять скрытые инструкции, которые автоматически отправляются в чат без явного подтверждения пользователем.
- Вектор атаки классифицируется как форма prompt injection, использующая особенности обработки URL-схем операционной системой.
- Исследователи из Oasis Security продемонстрировали, что подобные манипуляции могут привести к несанкционированному выполнению действий от имени пользователя.