Claude Chrome-sikkerhedsfejl kunne tillade en ondsindet browserudvidelse at udløse foruddefinerede AI-arbejdsgange gennem simulerede brugerklik. Fejlen kunne til gengæld misbruges Claudes adgang til tjenester som Gmail, Google Docs, Google Kalender og Salesforce, afhængigt af hvordan udvidelsen er konfigureret, og hvilke tilladelser brugeren har givet den.
Sårbarheden blev opdaget af sikkerhedsforskeren Axe Sharma hos Manifold Security. Ifølge forskeren ligger problemet i, hvordan Anthropics Chrome-udvidelse Claude afgør, om en bruger rent faktisk har startet en af dens indbyggede AI-arbejdsgange.
Sådan fungerer Claude Chrome-sårbarheden
Chrome-udvidelser der har tilladelse til at køre på et websted, kan indsætte JavaScript i sidens indhold. Det betyder, at de kan læse og ændre information, manipulere sideelementer og generere klik- og tastaturhændelser programmatisk.
Ifølge Manifold Security Claude-udvidelsen lytter efter klik på specifikke sideelementer, der bruges til at starte foruddefinerede AI-arbejdsgange. Disse arbejdsgange gør det muligt for Claude at udføre opgaver i forbundne tjenester, herunder:
- Gmail: læse de seneste e-mails, identificere reklamemails og afmelde dig.
- Google Dokumenter: Åbn brugerens seneste dokument og læs kommentarer og feedback.
- Google Kalender: analyser kalenderen, find ledige tidspunkter og opret møder.
- Salesforce: opdatere leads og konvertere dem til forretningsmuligheder.
Tjekkede ikke om klikket kom fra en rigtig bruger
Forskerne opdagede, at Claude-tilføjelsen accepterede JavaScript-genererede klik uden at kontrollere, om de kom fra en rigtig bruger.
Browsere bruger egenskaben Event.isPålidelig at skelne mellem begivenheder oprettet af en bruger og dem, der genereres programmatisk via JavaScript. For eksempel, når en bruger klikker med musen, Event.isPålidelig til ægte, mens syntetiske begivenheder automatisk markeres som falsk.
Ifølge Manifold Security kontrollerede Claude-udvidelsen ikke denne egenskab, før den startede en AI-arbejdsgang.
Dette betød, at en ondsindet Chrome-udvidelse med tilladelse til at køre på domænet claude.ai kunne oprette et særligt sideelement, angive et af de understøttede opgave-id'er og derefter generere et syntetisk klik. Selvom browseren korrekt markerede hændelsen som ikke-tillid, behandlede Claude-udvidelsen den som et legitimt brugerklik og udførte den anmodede AI-handling.
Angrebet er begrænset, men kan have betydelige konsekvenser
Forskerne understreger, at sårbarheden ikke tillader vilkårlig prompt injection eller tillader angribere at køre vilkårlige kommandoer via Claude. I stedet er angrebet begrænset til de ni foruddefinerede AI-arbejdsgange, der er indbygget i udvidelsen.
En angriber kan heller ikke kompromittere Claude direkte via et websted. For at angrebet kan lykkes, skal brugeren først narres til at installere en ondsindet Chrome-udvidelse, der har tilladelse til at udføre kode på den. claude.ai.
Når en sådan udvidelse er installeret, kan den manipulere websiden og udløse Claude-udvidelsens indbyggede arbejdsgange uden at brugeren bevidst starter dem.
Kan misbruge Claudes adgang til eksterne tjenester
Selvom en ondsindet browserudvidelse allerede har omfattende adgang til de websteder, den kører på, mener forskere, at denne sårbarhed udgør en yderligere risiko, fordi den kan udnytte Claudes autentificerede adgang til forbundne tjenester.
Hvor stor effekten bliver, afhænger blandt andet af, hvordan Claude-tilføjelsen er konfigureret, og hvis brugeren har aktiveret funktionen “"Handl uden at spørge"”, som tillader visse foruddefinerede arbejdsgange at køre automatisk uden yderligere godkendelse.
I miljøer, hvor Claude har adgang til følsomme oplysninger eller forretningssystemer, kan konsekvenserne derfor være større end med en typisk ondsindet browserudvidelse.
Yderligere opdagelser omkring godkendelsestjek
Forskerne identificerede også en intern parameter, springTilladelser over=sand, som kunne omgå visse godkendelseskontroller, når udvidelsen blev lanceret.
De bemærkede dog, at denne mekanisme ikke kunne udnyttes direkte alene. For at skabe et fungerende angreb ville en yderligere sårbarhed være nødvendig for at konstruere en specielt udformet URL.
Anthropic blev informeret via bug bounty-programmet
Begge fund blev rapporteret til Anthropic gennem virksomhedens bug bounty-program.
Antropisk bekræftede rapporterne og udtalte, at problemet med syntetiske klik allerede var blevet registreret som en del af en større sikkerhedsindsats. Den anden opdagelse, som vedrørte parameteren springTilladelser over=sand, blev klassificeret som informativ.
Ifølge Manifold Security kan begge fejl stadig reproduceres i version 1.0.80 af Claude Chrome-udvidelsen, som blev udgivet den 7. juli.
I deres rapport skriver forskerne:
“"Manifold bekræftede den 7. juli, at begge resultater stadig kan reproduceres i version 1.0.80. Indholdsskriptet og sidebar-handlerne, som vi analyserede, er byte-identiske med kildekoden i version 1.0.72."”
Det er i øjeblikket uklart, hvornår Anthropic vil udbedre den primære sårbarhed. Indtil da rådes brugerne til kun at installere Chrome-udvidelser fra betroede udviklere, regelmæssigt gennemgå tilladelserne for installerede udvidelser og undgå at give unødvendige tilladelser til udvidelser, der har adgang til claude.ai, Google Workspace eller andre forretningskritiske tjenester.








