Sicherheitslücke in Claude Chrome könnte es einer bösartigen Browsererweiterung ermöglichen, vordefinierte KI-Workflows durch simulierte Benutzerklicks auszulösen. Die Schwachstelle könnte wiederum ausgenutzt werden. Claudes Zugriff auf Dienste wie Gmail, Google Docs, Google Kalender und Salesforce, abhängig davon, wie die Erweiterung konfiguriert ist und welche Berechtigungen der Benutzer ihr erteilt hat.
Die Sicherheitslücke wurde entdeckt von der Sicherheitsforscher Axe Sharma bei Manifold Security. Laut dem Forscher liegt das Problem darin, wie die Chrome-Erweiterung Claude von Anthropic feststellt, ob ein Benutzer tatsächlich einen der integrierten KI-Workflows gestartet hat.
So funktioniert die Claude-Chrome-Sicherheitslücke
Chrome-Erweiterungen Programme, die über die Berechtigung verfügen, auf einer Website ausgeführt zu werden, können JavaScript in den Seiteninhalt einfügen. Dies bedeutet, dass sie Informationen lesen und verändern, Seitenelemente manipulieren und Klick- und Tastaturereignisse programmatisch auslösen können.
Entsprechend Manifold Security Die Claude-Erweiterung überwacht Klicks auf bestimmte Seitenelemente, die zum Starten vordefinierter KI-Workflows verwendet werden. Diese Workflows ermöglichen es Claude, Aufgaben in verbundenen Diensten auszuführen, darunter:
- Gmail: Lesen Sie die neuesten E-Mails, erkennen Sie Werbe-E-Mails und melden Sie sich ab.
- Google Docs: Öffnen Sie das neueste Dokument des Benutzers und lesen Sie die Kommentare und das Feedback.
- Google Kalender: Analysiere den Kalender, finde freie Termine und erstelle Meetings.
- Salesforce: Aktualisieren Sie Leads und wandeln Sie diese in Geschäftsmöglichkeiten um.
Es wurde nicht überprüft, ob der Klick von einem echten Nutzer stammte.
Die Forscher entdeckten, dass Der Claude-Zusatz JavaScript-generierte Klicks wurden akzeptiert, ohne zu prüfen, ob sie von einem echten Benutzer stammten.
Webbrowser verwenden die Eigenschaft Event.isTrusted um zwischen benutzergenerierten Ereignissen und solchen, die programmatisch über JavaScript generiert werden, zu unterscheiden. Zum Beispiel, wenn ein Benutzer mit der Maus klickt, Event.isTrusted Zu WAHR, Synthetische Ereignisse werden automatisch als solche markiert FALSCH.
Laut Manifold Security hat die Claude-Erweiterung diese Eigenschaft vor dem Start eines KI-Workflows nicht überprüft.
Dies bedeutete, dass eine bösartige Chrome-Erweiterung mit der Berechtigung, auf der Domain ausgeführt zu werden, claude.ai Es konnte ein spezielles Seitenelement erstellt, eine der unterstützten Aufgabenkennungen angegeben und anschließend ein synthetischer Klick generiert werden. Obwohl der Browser das Ereignis korrekt als nicht vertrauenswürdig kennzeichnete, behandelte die Claude-Erweiterung es als legitimen Benutzerklick und führte die angeforderte KI-Aktion aus.
Der Angriff ist zwar begrenzt, könnte aber erhebliche Folgen haben.
Die Forscher betonen, dass die Schwachstelle weder das Einschleusen beliebiger Eingabeaufforderungen noch die Ausführung beliebiger Befehle über Claude ermöglicht. Der Angriff beschränkt sich vielmehr auf die neun vordefinierten KI-Workflows, die in die Erweiterung integriert sind.
Ein Angreifer kann Claude auch nicht direkt über eine Website kompromittieren. Damit der Angriff gelingt, muss der Benutzer zunächst dazu verleitet werden, eine schädliche Chrome-Erweiterung zu installieren, die über die Berechtigung zur Codeausführung verfügt. claude.ai.
Sobald eine solche Erweiterung installiert ist, kann sie die Webseite manipulieren und die in die Claude-Erweiterung integrierten Arbeitsabläufe auslösen, ohne dass der Benutzer diese absichtlich initiiert.
Kann Claudes Zugang zu externen Diensten missbrauchen
Obwohl eine bösartige Browsererweiterung bereits über umfassenden Zugriff auf die Webseiten verfügt, auf denen sie ausgeführt wird, glauben Forscher, dass diese Schwachstelle ein zusätzliches Risiko darstellt, da sie Claudes authentifizierten Zugriff auf verbundene Dienste ausnutzen könnte.
Wie groß die Auswirkungen sein werden, hängt unter anderem davon ab, wie Der Claude-Zusatz ist konfiguriert und wenn der Benutzer die Funktion aktiviert hat “Handeln, ohne zu fragen”, Dadurch können bestimmte vordefinierte Arbeitsabläufe automatisch und ohne weitere Genehmigung ausgeführt werden.
In Umgebungen, in denen Claude Zugriff auf sensible Informationen oder Geschäftssysteme hat, können die Folgen daher gravierender sein als bei einer typischen bösartigen Browsererweiterung.
Weitere Erkenntnisse im Zusammenhang mit Autorisierungsprüfungen
Die Forscher identifizierten außerdem einen internen Parameter., skipPermissions=true, wodurch bestimmte Autorisierungsprüfungen beim Start der Erweiterung umgangen werden konnten.
Sie wiesen jedoch darauf hin, dass dieser Mechanismus allein nicht direkt ausgenutzt werden könne. Für einen funktionierenden Angriff wäre eine zusätzliche Schwachstelle erforderlich, um eine speziell präparierte URL zu erstellen.
Anthropic wurde über das Bug-Bounty-Programm informiert.
Beide Funde wurden Anthropic über das Bug-Bounty-Programm des Unternehmens gemeldet.
Anthropisch Die Berichte wurden bestätigt und es wurde erklärt, dass das Problem mit den synthetischen Klicks bereits im Rahmen einer umfassenderen Sicherheitsmaßnahme erfasst worden sei. Die zweite Entdeckung betraf den Parameter skipPermissions=true, wurde als informativ eingestuft.
Laut Manifold Security sind beide Schwachstellen auch in Version 1.0 weiterhin reproduzierbar. 1.0.80 von Claude, einer Chrome-Erweiterung, die am 7. Juli veröffentlicht wurde.
In ihrem Bericht schreiben die Forscher:
“Manifold hat am 7. Juli bestätigt, dass beide Ergebnisse auch in Version 1.0.80 reproduzierbar sind. Das von uns analysierte Content-Skript und die Sidebar-Handler sind byteidentisch mit dem Quellcode in Version 1.0.72.”
Es ist derzeit unklar, wann Anthropic die Hauptsicherheitslücke beheben wird. Bis dahin wird Nutzern empfohlen, Chrome-Erweiterungen nur von vertrauenswürdigen Entwicklern zu installieren, die Berechtigungen installierter Erweiterungen regelmäßig zu überprüfen und Erweiterungen, die Zugriff auf bestimmte Daten haben, keine unnötigen Berechtigungen zu erteilen. claude.ai, Google Workspace oder andere geschäftskritische Dienste.








