Trio de Falhas 'Claudy Day' Expõe Usuários do Claude a Roubo de Dados

Pesquisadores da Oasis Security combinaram três vulnerabilidades — uma prompt injection invisível via parâmetros de URL, um open redirect em claude.com e a exfiltração de dados via Anthropic Files API — em um ataque único nomeado "Claudy Day". Quando uma vítima clica em um resultado malicioso de pesquisa do Google, são carregadas instruções secretas que extraem silenciosamente o histórico de conversas, salvam-no em um arquivo e o enviam para a conta Anthropic do atacante. O impacto do ataque é significativo : se servidores MCP ou integrações estiverem ativos, ele se estende a arquivos, mensagens e APIs conectadas, expondo vastos dados. ️