许多程序员与vibe coding玩家爱用的Claude AI近日爆出严重资安漏洞,近日知名资安研究团队Oasis Security揭露了Anthropic旗下 Claude.ai 平台存在一组名为Claudy Day的严重漏洞攻击链。 这个漏洞不仅揭示了主流 AI 平台在身份与存取管理(IAM)上的新型弱点,更显示出攻击者如何能在使用者毫无察觉的情况下,暗中窃取对话纪录中的敏感信息。
「Claudy Day」并非单一的程序错误,而是由三项独立的弱点串联而成。 这组攻击链最令人担忧之处在于,它不需要任何外部整合工具或模型上下文协议(MCP)服务器的辅助,就能在 Claude.ai 的预设对话环境中运作。 这意味着,任何使用Claude进行日常工作的普通用户,只要点击了看似合法的链接,都可能沦为攻击者的猎物。
三位一体的致命打击:拆解 Claudy Day 漏洞结构
根据 Oasis Security 的官方报告,「Claudy Day」的核心是由三种不同类型的弱点组合而成,分别是隐形提示注入(Invisible Prompt Injection)、恶意资料外泄(Data Exfiltration)以及开放式重新导向(Open Redirect)。 这三者环环相扣,形成了一个完整的攻击路径。
首先是隐形提示注入。 研究人员发现,Claude.ai 提供了一项功能,允许用户通过特定的 URL 参数(例如 )来预填对话提示。 攻击者利用此功能的设计瑕疵,在 URL 中嵌入精心构造的恶意 HTML 标签。 这些标签被处理后,对用户来说是隐形的,但对后端的 AI 模型而言,却是清晰可读的指令。 这使得攻击者可以在不引起用户怀疑的情况下,秘密下达指令给 AI。claude.ai/new?q=...
其次是「资料外泄」技术的应用。 一旦隐形指令被触发,攻击者会指示Claude搜寻用户的对话历史纪录,寻找包含财务计划、医疗咨询内容或企业内部机密等敏感字眼。 接着,攻击者会利用一个自己控制的 Anthropic Files API 密钥,迫使 Claude 将这些搜集到的数据上传至攻击者的帐号下。 由于这一切发生在后台,用户在对话界面上完全看不到数据外泄的痕迹。
最后一环是开放式重新导向漏洞。 研究指出, 路径存在未经验证的重新导向问题。 攻击者可以将此漏洞与 谷歌 Ads 的投放功能结合,制作出看起来完全来自合法 Claude 域的恶意链接。 当用户在搜索引擎上搜索相关关键词时,极容易被这些高可信度的广告诱骗点击,进而触发整个攻击链。claude.com/redirect/<target>
高风险警报:从个人隐私到企业机密的全面威胁
资安专家对「Claudy Day」的风险评等为「高风险」。 其危险性在于,攻击者可以实现极高精度的「定向攻击」。 通过 谷歌 Ads 的精准投放功能,攻击者可以锁定特定产业的从业人员,或是正在搜索特定技术问题的工程师。 一旦受害者进入了受污染的对话环境,其过去在该平台上累积的所有知识库与对话精华,都可能在一瞬间易手。
受影响的范围不仅限于一般对话。 如果用户为了提升工作效率而连接了 MCP(Model Context Protocol)服务器、第三方 API 或是上传了企业内部的敏感文件,攻击者能访问的资源范围将会进一步扩大。 这意味着,「Claudy Day」可能成为企业资料外泄的新破口,让传统的边界防护与端点安全软件失效,因为攻击是直接发生在受信任的 AI 服务内部。
Anthropic 的响应与后续修补进度
在发现漏洞后,Oasis Security 研究团队已遵循「负责任的揭露程序」(Responsible Disclosure Program),第一时间向 Anthropic 通报了相关发现。 Anthropic 对此高度重视,并迅速采取了应对措施。 根据目前掌握的消息,Anthropic 已经修补了其中最关键的「提示注入」漏洞,防止恶意指令通过 URL 参数渗透。
关于「开放式重新导向」以及部分 API 滥用的问题,相关修补程序目前仍在制作与测试阶段。 Anthropic 建议用户在进行敏感对话时保持警觉,并避免点击源不明的对话邀请链接。 同时,研究团队也提醒,此事件凸显了现有身分与存取管理(IAM)框架在应对AI代理人行为时的不足。 传统的 IAM 设计是针对「人类操作者」或「传统软件程式」,并未考虑到 AI 代理人可能在接收到恶意提示后,自主执行具备破坏性的操作。
AI 代理人安全的新挑战:从 OpenClaw 到 Claude
值得注意的是,「Claudy Day」并非孤立事件。 Oasis Security 近期也曾揭露过关于OpenClaw的相关弱点,这显示出AI代理人遭劫持(Agent Hijacking)的风险正在全球范围内持续增加。 当 AI 代理人具备了「看见」网络、「读取」文件与「调用」API 的权限时,它们本身就成为了一个强大的攻击载体。
这对于企业而言,建立针对 AI 应用的资安治理架构已是刻不容缓。 这包括对 AI 对话内容的审计、对 API 调用权限的严格限制,以及对员工进行关于 AI 钓鱼攻击的教育训练。 在修补程序完全发布之前,建议Claude的用户应定期清理敏感的对话历史,并在处理机密信息时,优先考虑使用具备更高安全层级的企业版服务。
