CEVIU Logo
Voltar

Trio de Falhas 'Claudy Day' Expõe Usuários do Claude a Roubo de Dados

Aprofundamento CEVIU

Aprofundamento

O 'Claudy Day' não é só mais um ataque de injeção de prompt: é a primeira demonstração prática de como três falhas aparentemente menores, uma URL maliciosa que disfarça código HTML, um redirecionamento aberto sem validação e uma API beta de arquivos com permissões excessivas, se combinam para transformar o Claude em um canal de exfiltração silenciosa. A chave está na exploração do sandbox: embora o modelo não possa acessar a internet livremente, ele pode usar a própria infraestrutura da Anthropic (api.anthropic.com + Files API) para enviar dados para fora, e isso foi possível porque a funcionalidade beta permite uploads de até 500 MB por arquivo, sem verificação de conteúdo ou restrição de escopo por sessão.

O ataque ignora completamente as barreiras tradicionais de segurança: não há download, não há script externo, não há phishing visível. Tudo acontece dentro de uma sessão legítima do claude.ai, com o usuário apenas clicando em um resultado do Google. Isso torna a detecção quase impossível por ferramentas de EDR ou proxies corporativos, e coloca a responsabilidade direta na integridade do prompt como camada crítica de defesa, conforme reforçado no ASI01 (Agent Goal Hijacking), risco #1 do OWASP Top 10 para aplicações agênticas em 2026.

Por que isso importa

Empresas que usam Claude com memória ativa ou integrações empresariais (como leitura de documentos, envio de e-mails ou acesso a APIs internas) estão expostas a vazamentos de dados operacionais sensíveis, desde estratégias de preços até relatórios clínicos, sem que o usuário perceba. Diferente de ataques anteriores, como o CVE-2025-55284 no Claude Code (exfiltração via DNS), este não depende de configurações específicas ou canais indiretos: opera com os recursos padrão da plataforma. A correção parcial pela Anthropic, apenas da injeção de prompt até agora, deixa duas portas abertas: o redirect e a Files API continuam vulneráveis, o que significa que o risco persiste mesmo após atualizações superficiais.

Perguntas frequentes

Como saber se minha organização foi afetada pelo 'Claudy Day'?

Não há log evidente: o ataque deixa poucos rastros nos servidores da Anthropic. Verifique se há uploads inesperados na sua organização via Anthropic Files API (acesso ao dashboard de uso da API) e revise logs de navegação interna por cliques em resultados do Google que levem a claude.com/redirect/. Se você usa Claude com memória ativada, considere revogar o histórico recente como medida preventiva.

A correção anunciada pela Anthropic resolve tudo?

Não. Apenas a vulnerabilidade de injeção de prompt foi corrigida até 19 de março de 2026. O redirecionamento aberto e a exposição da Files API ainda estão sob análise. Enquanto isso, links maliciosos continuam funcionando, e atacantes podem usar chaves de API válidas para receber dados exfiltrados.

Por que a Files API é tão perigosa nesse cenário?

Ela permite upload de até 500 MB por arquivo, sem validação de conteúdo, e opera com credenciais da própria organização do atacante. Como o Claude processa prompts ocultos em URLs, ele executa o upload sem intervenção humana, transformando a API em um túnel de saída autorizado, não detectado por firewalls ou DLPs tradicionais.

Esse tipo de ataque pode ser replicado em outros modelos de IA?

Sim, especialmente em plataformas que permitem integrações com APIs próprias, redirecionamentos não validados e interfaces web com parsing de URL dinâmico. O 'Claudy Day' é um caso de estudo para o ASI01, mas o padrão já foi observado em testes com agentes baseados em Llama e Mistral quando configurados com acesso a serviços de armazenamento próprios.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
19 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser