Source: Embrace The Red (blog). Dans ce billet, l’auteur montre comment l’accès réseau autorisé par défaut du Code Interpreter de Claude permet une exfiltration de données en abusant de l’API Files d’Anthropic, sans passer par des liens externes, mais via des appels aux APIs intégrées autorisées par la liste blanche de domaines.

Le cœur de l’attaque est une indirect prompt injection qui amène Claude à lire des données accessibles à l’utilisateur (ex. la dernière conversation via la fonction memories), à les écrire dans le sandbox (/mnt/user-data/outputs/hello.md), puis à exécuter du code qui appelle api.anthropic.com pour uploader ce fichier via l’API Files. Astuce clé: le code injecte la clé API de l’attaquant (variable d’environnement ANTHROPIC_API_KEY), ce qui envoie le fichier non pas vers le compte de la victime mais vers celui de l’attaquant. La taille exfiltrable annoncée est de 30 Mo par fichier, avec la possibilité d’en envoyer plusieurs.

L’auteur relate des itérations pour fiabiliser l’exploit: la présence d’une clé API en clair rendait Claude suspicieux et bloquait souvent l’exécution. Des tentatives de masquage (XOR, base64) ont été peu fiables, mais l’ajout de code bénin (ex. impressions anodines) a suffi à contourner les heuristiques de sécurité et à faire passer la charge utile 😈. Une démo montre l’apparition du fichier volé dans la Console de l’attaquant et son usage ultérieur en chat.

Côté divulgation, le rapport a été envoyé via HackerOne le 25/10/2025 et d’abord fermé comme hors périmètre au motif « model safety », avant une mise à jour du 30/10/2025 où Anthropic confirme que ce type d’exfiltration est bien in-scope et évoque un couac de processus. La documentation d’Anthropic rappelle le risque d’exfiltration via l’egress réseau et recommande une surveillance active lors de l’usage, notant que l’option par défaut « package managers only » peut induire un faux sentiment de sécurité.

Le billet propose des pistes: côté éditeur, lier strictement le sandbox au compte de l’utilisateur pour empêcher des appels API vers d’autres comptes; côté utilisateurs, désactiver l’accès réseau ou restreindre finement les domaines et surveiller l’exécution. L’auteur suggère enfin que d’autres domaines autorisés par la liste « package managers only » pourraient permettre des abus similaires.

• IOCs:

  • Domaine autorisé exploité: api.anthropic.com
  • Chemin de fichier sandbox: /mnt/user-data/outputs/hello.md

• TTPs:

  • Indirect prompt injection pour prise de contrôle des actions du modèle
  • Abus d’un domaine approuvé (allowlist) pour exfiltration via API Files
  • Injection de credentials (clé API de l’attaquant via variable d’environnement)
  • Context scraping via la fonction memories pour lire l’historique de chat
  • Évasion par dilution de la charge avec du code bénin

Conclusion: article de publication de recherche avec preuve de concept visant à démontrer une chaîne d’exfiltration et à sensibiliser sur les limites de la configuration réseau par défaut.

🧠 TTPs et IOCs détectés

TTP

[‘Indirect prompt injection pour prise de contrôle des actions du modèle’, ‘Abus d’un domaine approuvé (allowlist) pour exfiltration via API Files’, ‘Injection de credentials (clé API de l’attaquant via variable d’environnement)’, ‘Context scraping via la fonction memories pour lire l’historique de chat’, ‘Évasion par dilution de la charge avec du code bénin’]

IOC

[‘Domaine autorisé exploité: api.anthropic.com’, ‘Chemin de fichier sandbox: /mnt/user-data/outputs/hello.md’]

🔗 Source originale : https://embracethered.com/blog/posts/2025/claude-abusing-network-access-and-anthropic-api-for-data-exfiltration/