La vulnerabilità denominata Claudy Day, identificata dai ricercatori di Oasis Security, rappresenta un esempio emblematico di come più debolezze apparentemente innocue possano essere combinate in una catena offensiva efficace.
Non si tratta di un exploit tradizionale basato su codice malevolo, ma di un attacco che sfrutta la logica stessa dei sistemi AI e le loro funzionalità legittime.
“Abbiamo scoperto tre vulnerabilità in Claude.ai e nella più ampia piattaforma claude.com, collettivamente denominate Claudy Day, che, se combinate, creano una pipeline di attacco completa: dalla distribuzione mirata alle vittime, alla manipolazione invisibile dei prompt, fino all’esfiltrazione silenziosa di dati sensibili dalla cronologia delle conversazioni dell’utente”, si legge nel rapporto di Oasis Security.
Indice degli argomenti
Una catena di attacco basata sulla fiducia
L’attacco inizierebbe con un link apparentemente affidabile, veicolato tramite annunci di ricerca di Google (i criminal hacker così non avrebbero bisogno di inviare e-mail di phishing).
Grazie a una vulnerabilità di open redirect, la vittima verrebbe pertanto reindirizzata verso una risorsa controllata dall’attaccante senza percepire anomalie.
Gli attaccanti, in pratica, creando annunci con link del tipo “claude.com/redirect/<target>” che appartengono alla piattaforma Claude, riescono a ottenere l’approvazione di Google. Tali link, una volta cliccati, reindirizzerebbero silenziosamente la vittima all’URL di injection.
Secondo la ricostruzione della catena d’attacco spiegata nel rapporto, gli attaccanti avrebbero realizzato una prompt injection incorporando tag HTML invisibili in un parametro URL che precompila la chat di Claude.ai (claude.ai/new?q=…), nascondendo in questo modo richieste di estrazione dati dentro un prompt apparentemente normale che il modello interpreta comunque come input valido.
Il risultato è che l’attaccante riuscirebbe a influenzare il comportamento del modello senza dover compromettere direttamente il sistema.
Inoltre, i ricercatori avrebbero trovato anche una falla nella funzionalità dell’API per la gestione dei file (API Anthropic Files) che permetterebbe di raccogliere informazioni dalla sessione in corso e a salvarle in un file successivamente caricato verso una destinazione controllata dall’attaccante.
L’aspetto più preoccupante di tutto questo è che l’intero processo avverrebbe senza segnali evidenti.
Infatti, non vengono richiesti permessi e non si verificano comportamenti anomali percepibili dall’utente.
Difesa e mitigazione nel contesto AI
Le contromisure tradizionali non sono sufficienti per affrontare questo tipo di minaccia. È necessario adottare un approccio multilivello che tenga conto delle specificità dei sistemi AI.
Ad esempio, funzionalità come l’accesso a file, l’integrazione con API esterne e le capacità di upload dovrebbero essere attentamente controllate e, quando possibile, ristrette. Un secondo elemento chiave è il controllo del traffico in uscita.
Monitorare le destinazioni verso cui il modello invia dati consentirebbe infatti di individuare comportamenti anomali e prevenire l’esfiltrazione.
Sarebbe inoltre essenziale isolare i dati sensibili, evitando di inserirli direttamente nei prompt.
Infine, la formazione degli utenti gioca sempre un ruolo cruciale: la percezione di affidabilità associata ai sistemi AI potrebbe diventare un punto debole se non viene accompagnata da una corretta consapevolezza dei rischi.
Considerazioni finali
Claudy Day rappresenta un caso concreto di attacco moderno contro i sistemi AI, basato sulla combinazione di fiducia, manipolazione del linguaggio e abuso di funzionalità legittime.
In un contesto aziendale, scenari di questo tipo assumono una rilevanza ancora maggiore in quanto I modelli AI vengono infatti sempre più utilizzati per elaborare codice, analizzare documenti interni e supportare processi decisionali. Questo significa che il loro contesto operativo contiene spesso informazioni ad alto valore.
Oasis Security ha condiviso questi risultati con Anthropic attraverso un programma di divulgazione responsabile.
Il team fa sapere che, per ora, solo la vulnerabilità di prompt injection è stata risolta e che gli altri problemi sono in fase di risoluzione.
