事件经过
Oasis Security 在 2026 年 7 月 15 日发布了 PromptFiction 发现,表明当与之前披露的"Claudy Day"三个漏洞链式结合时,攻击者可以实现对先前对话历史的无声泄露,以及 — 当安装了 Anthropic 的官方文件系统服务器时 — 本地文件读取/写入、持久性,最终在受害者的机器上执行远程代码。
影响分析
这从整个提示注入攻击类别中消除了最后的人工循环保护措施(发送按钮),针对广泛部署的桌面 AI 代理,并演示了从单个链接点击到在运行具有文件系统工具访问权限的 Claude Desktop 的开发者/分析师机器上执行 RCE 的现实端到端路径。
攻击途径
Claude Desktop 注册了一个自定义 claude:// URI 处理程序,接受包含提示文本的 `q` 参数并将其自动提交给代理,无需用户按下 Enter/发送,与网络应用不同。单次点击精心设计的 claude:// 链接(嵌入在网页、聊天消息、文档或搜索结果中)会立即将完全由攻击者编写的指令放在代理面前执行,使用长消息 UI 折叠将恶意负载隐藏在可见的、看起来良性的请求下方。
受影响系统
Anthropic Claude Desktop 应用程序,版本 1.1.2321 之前
缓解措施
由 Anthropic 在 Claude Desktop 版本 1.1.2321 中通过其负责任披露计划进行修复;用户应立即升级。