Claude Desktop registrerer URL-skjemaet claude:// på maskinen din. Oasis Security, med forskningsleder Elad Luz, viste at en bearbeidet lenke kunne åpne appen og levere et forhåndsskrevet prompt via en q-parameter, uten godkjenningssteget som nettleserversjonen på claude.ai krever. Feilen fikk navnet «PromptFiction».
For å skjule angrepet fylte forskerne prompten med uskyldig tekst, som en forespørsel om ASCII-kunst, mens de faktiske instruksjonene lå gjemt under Claudes «show more»-sammenslåing av lange meldinger. Alene er dette begrenset, men Oasis viser hvordan det kunne kjedes med tidligere feil (en usynlig prompt-injeksjon på claude.ai, dataeksfiltrering via Files API og en open redirect på claude.com) til stille tyveri av gamle samtaler.
«Ett klikk på en lenke, i en nettleser, en chatmelding, et dokument eller et søkeresultat, er nok til å plassere angriperskrevne instruksjoner foran agenten og få dem utført.» — Elad Luz, Oasis Security
Hadde offeret installert Anthropics Filesystem MCP-server, kunne kjeden nå lokale filer og i verste fall føre til kodekjøring senere. Anthropic har fikset selve PromptFiction-feilen, og Oasis opplyser at en annen forsker rapporterte den samme svakheten uavhengig.
Hva bør du gjøre?
- Oppdater Claude Desktop til v1.1.2321 eller nyere.
- Gå gjennom hvilke MCP-servere du har installert, og fjern dem du ikke bruker aktivt.
- Behandle claude://-lenker fra ukjente kilder med samme skepsis som andre protokoll-lenker.