- Les chercheurs d’Oasis mettent au jour la chaîne d’attaque « Cloudy Day » visant Claude
- Les failles incluent une injection de prompt invisible, une exfiltration de données via API et des redirections ouvertes
- Anthropic a corrigé l’une des vulnérabilités, les correctifs des deux autres sont en cours de déploiement
Des chercheurs en sécurité d’Oasis ont récemment identifié trois vulnérabilités dans Claude qui, exploitées conjointement, permettent de constituer une chaîne d’attaque complète — depuis la livraison ciblée à la victime jusqu’à l’exfiltration de données sensibles.
Les chercheurs ont baptisé cette attaque Cloudy Day et l’ont signalée de manière responsable à Anthropic.
L’une des failles a déjà été corrigée, tandis que des correctifs pour les deux autres sont actuellement en cours de développement.
Exploitation de Google
Dans un rapport détaillé publié sur son site, Oasis explique que l’attaque théorique débute par une injection de prompt invisible via des paramètres d’URL. Les chercheurs ont découvert que Claude.ai permet d’ouvrir une nouvelle conversation avec un prompt prérempli grâce à un paramètre d’URL (claude.ai/new?q=...). Comme il est possible d’intégrer des balises HTML dans ce paramètre, celles-ci peuvent servir à dissimuler des prompts invisibles que Claude traitera lorsque l’utilisateur appuiera sur Entrée.
Mais l’injection d’un prompt malveillant n’est que la première étape. Le sandbox d’exécution de code de Claude ne permet pas les connexions réseau sortantes, ce qui signifie que l’outil ne peut pas communiquer avec un serveur tiers. En revanche, il peut se connecter à api.anthropic.com. Si un attaquant intègre une clé API dans le prompt, il peut demander à Claude de parcourir l’ensemble des conversations précédentes de la victime à la recherche d’informations sensibles, de générer un fichier, puis de le téléverser vers le compte Anthropic de l’attaquant via la Files API.
« Aucune intégration ni outil externe nécessaire, uniquement des fonctionnalités disponibles par défaut. »
L’injection de prompt et l’exfiltration de données sont donc possibles — mais comment inciter les victimes à cliquer sur un lien contenant un prompt prérempli ? Un simple e-mail de phishing pourrait suffire, mais Oasis a identifié une méthode encore plus préoccupante. La troisième vulnérabilité concerne des redirections ouvertes sur claude.com. Toute URL au format claude.com/redirect/ redirige les visiteurs sans validation, y compris vers des domaines tiers arbitraires.
Parallèlement, Google Ads ne valide les URL qu’en fonction du nom d’hôte, ce qui signifie qu’un attaquant pourrait créer une annonce apparemment légitime sur le réseau publicitaire de Google et l’utiliser pour piéger des utilisateurs.
La vulnérabilité liée à l’injection de prompt a depuis été corrigée, et Anthropic travaille actuellement sur des correctifs pour les deux autres, ont confirmé les chercheurs d’Oasis.