何が起きたか
Oasis Security は 2026年7月15日に PromptFiction の結果を公開し、以前に開示された「Claudy Day」の3つの脆弱性と組み合わせると、攻撃者は以前の会話履歴の静かな漏洩を実現でき、Anthropic の公式 Filesystem Server がインストールされている場合、ローカルファイルの読み取り/書き込み、永続化、そして最終的に被害者のマシン上のリモートコード実行が可能になることを示しています。
なぜ重要か
これにより、広く展開されているデスクトップ AI エージェントに対するプロンプトインジェクション攻撃の全クラスから最後の人間によるループ保護(送信ボタン)が削除され、単一のリンククリックから Claude Desktop を実行している開発者/アナリストマシン上の RCE への現実的なエンドツーエンドパスが実証されます(ファイルシステムツールアクセス付き)。
攻撃経路
Claude Desktop はカスタム claude:// URI ハンドラーを登録し、プロンプトテキストを含む `q` パラメーターを受け入れ、ウェブアプリとは異なり、ユーザーが Enter/送信を押す必要なく、それをエージェントに自動送信します。作成された claude:// リンク(ウェブページ、チャットメッセージ、ドキュメント、または検索結果に埋め込まれている)をシングルクリックすると、完全に攻撃者によって作成された指示がエージェントの前に置かれ、即座に実行されます。長いメッセージ UI の折りたたみが使用され、悪質なペイロードを目に見える無実に見えるリクエストの下に隠します。
影響を受けるシステム
Anthropic Claude Desktop アプリケーション、バージョン 1.1.2321 以前
緩和策
Anthropic が Responsible Disclosure Program 経由で Claude Desktop バージョン 1.1.2321 で修正されました。ユーザーは直ちにアップグレードする必要があります。