Die von Rehberger orchestrierte Angriffskette beruht auf indirekter Immediate Injection. Dabei werden schadhafte Anweisungen in Dokumenten, Webseiten und anderem Content material versteckt, der von Claude auf Nutzeranweisung analysiert wird. Einmal getriggert, setzt sich laut dem Sicherheitsforscher folgender Prozess in Gang:
- Claude ruft wise Daten ab – beispielsweise den aktuellen Konversationsverlauf – und schreibt diesen in eine Datei in der Code-Interpreter-Sandbox.
- Der bösartige Payload sorgt dann dafür, dass Claude Python-Code ausführt, der die Datei in die Information-API von Anthropic hochlädt – allerdings mit einer entscheidenden Besonderheit: Der Add erfolgt nicht mit dem API-Schlüssel des Opfers, sondern mit dem des Angreifers.
Laut der API-Dokumentation von Anthropic ermöglicht diese Technik, bis zu 30 MB professional Datei zu extrahieren – wobei die Anzahl der Dateien, die hochgeladen werden können, unbegrenzt ist.
Wie Rehberger in seinem Bericht feststellt, sei es aufgrund der von Anthropic integrierten Sicherheitsmaßnahmen durchaus eine Herausforderung gewesen, einen zuverlässigen Exploit zu entwickeln. “Ich habe Tips wie XOR- und Base64-Kodierung ausprobiert. Nichts davon hat zuverlässig funktioniert. Dann habe ich aber einen Weg gefunden, die Kontrollmaßnahmen zu umgehen. Ich habe den Schadcode einfach in einer Menge harmlosen Codes versteckt – etwa print (hiya world)“, schreibt der Safety-Profi. Das habe gereicht, um Claude davon zu überzeugen, dass alles mit rechten Dingen zugeht.
