Apa yang terjadi
Oasis Security mempublikasikan temuan PromptFiction pada 15 Juli 2026, menunjukkan bahwa ketika dikombinasikan dengan trio kerentanan "Claudy Day" yang sebelumnya diungkapkan, penyerang dapat mencapai eksfiltrasi diam-diam dari riwayat percakapan sebelumnya dan — ketika Filesystem Server resmi Anthropic diinstal — pembacaan/penulisan file lokal, persistensi, dan pada akhirnya eksekusi kode jarak jauh di mesin korban.
Mengapa penting
Ini menghilangkan safeguard human-in-the-loop terakhir (tombol Send) dari seluruh kelas serangan prompt-injection terhadap agen AI desktop yang banyak digunakan, dan mendemonstrasikan jalur end-to-end yang realistis dari satu klik tautan ke RCE pada mesin developer/analyst yang menjalankan Claude Desktop dengan akses filesystem tool.
Vektor serangan
Claude Desktop mendaftarkan penangan URI claude:// kustom yang menerima parameter `q` berisi teks prompt dan secara otomatis mengirimkannya ke agen tanpa memerlukan pengguna menekan Enter/Send, berbeda dengan aplikasi web. Satu klik pada tautan claude:// yang dikerjakan (tertanam di halaman web, pesan chat, dokumen, atau hasil pencarian) menempatkan instruksi yang sepenuhnya ditulis penyerang di depan agen untuk eksekusi segera, dengan UI collapsing pesan panjang yang digunakan untuk menyembunyikan payload berbahaya di bawah permintaan yang terlihat benign.
Sistem yang terdampak
Aplikasi Anthropic Claude Desktop, versi sebelum 1.1.2321
Mitigasi
Diperbaiki oleh Anthropic dalam versi Claude Desktop 1.1.2321 melalui Program Responsible Disclosure-nya; pengguna harus segera meningkatkan.