Daily Journal
Daily Journal

Falha no Claude Desktop permitia roubo de dados via links maliciosos

Vulnerabilidade no aplicativo Claude Desktop possibilitava a execução de comandos ocultos e o acesso a dados sensíveis de usuários.

Daily Journal
Foto: TecMundo
||
16/07 às 16:15

Pontos principais

  • A falha, denominada PromptFiction, explorava o esquema de URI do software para injetar comandos sem autorização.
  • O ataque permitia que cibercriminosos acessassem históricos de conversas, informações financeiras e controlassem o computador da vítima.
  • Pesquisadores da Oasis Security descobriram a brecha e notificaram a Anthropic sobre o risco de segurança.
  • A Anthropic lançou a atualização 1.1.2321, que exige confirmação do usuário para a execução de comandos via chat.

Uma vulnerabilidade de segurança identificada no aplicativo Claude Desktop, apelidada de PromptFiction, expôs usuários a riscos significativos de roubo de dados e controle remoto de máquinas. A falha permitia que atacantes utilizassem links manipulados para injetar comandos ocultos no software, ignorando as etapas de aprovação padrão. Ao clicar em um link malicioso, o sistema executava instruções automaticamente, comprometendo informações sensíveis, como históricos de conversas e dados financeiros. A brecha foi descoberta por pesquisadores da Oasis Security, que alertaram a Anthropic sobre a fragilidade no esquema de URI da ferramenta. Em resposta, a empresa disponibilizou a versão 1.1.2321, que implementa uma camada adicional de segurança ao exigir que o usuário confirme explicitamente o envio de comandos via chat. A atualização é essencial para mitigar o risco de exploração da vulnerabilidade.

Tópicos relacionados

Comentários

Carregando comentários...