Claude Chromen tietoturva-aukko voisi sallia haitallisen selainlaajennuksen käynnistää ennalta määritettyjä tekoälytyönkulkuja simuloitujen käyttäjänapsautusten kautta. Haittaa voitaisiin puolestaan käyttää väärin Clauden pääsy palveluihin, kuten Gmail, Google Docs, Google Kalenteri ja Salesforce, riippuen siitä, miten laajennus on määritetty ja mitä käyttöoikeuksia käyttäjä on sille antanut.
Haavoittuvuuden löysi turvallisuustutkija Axe Sharma Manifold Securitylla. Tutkijan mukaan ongelma on siinä, miten Anthropicin Chrome-laajennus Claude määrittää, onko käyttäjä todella käynnistänyt jonkin sen sisäänrakennetuista tekoälytyönkuluista.
Claude Chromen haavoittuvuuden toimintaperiaate
Chrome-laajennukset joilla on lupa suorittaa ne verkkosivustolla, voivat lisätä JavaScriptiä sivun sisältöön. Tämä tarkoittaa, että ne voivat lukea ja muokata tietoja, manipuloida sivun elementtejä ja luoda napsautus- ja näppäimistötapahtumia ohjelmallisesti.
Mukaan Jakotukijärjestelmä Claude-laajennus kuuntelee tiettyjen sivuelementtien klikkauksia, joita käytetään ennalta määritettyjen tekoälytyönkulkujen käynnistämiseen. Näiden työnkulkujen avulla Claude voi suorittaa tehtäviä yhdistetyissä palveluissa, mukaan lukien:
- Gmailissa: lue uusimmat sähköpostit, tunnista mainossähköpostit ja peruuta tilaus.
- Google-dokumentit: avaa käyttäjän uusin dokumentti ja lue kommentit ja palautteet.
- Google-kalenteri: analysoi kalenteria, etsi vapaita aikoja ja luo tapaamisia.
- Salesforce: päivittää liidejä ja muuntaa ne liiketoimintamahdollisuuksiksi.
Ei tarkistettu, tuliko klikkaus oikealta käyttäjältä
Tutkijat havaitsivat, että Claude-lisäys hyväksyi JavaScriptin luomia klikkauksia tarkistamatta, tulivatko ne oikealta käyttäjältä.
Verkkoselaimet käyttävät ominaisuutta Tapahtuma.onLuotettu erottaakseen käyttäjän luomat tapahtumat ohjelmallisesti JavaScriptin avulla luoduista tapahtumista. Esimerkiksi kun käyttäjä napsauttaa hiiren painiketta, Tapahtuma.onLuotettu että totta, kun taas synteettiset tapahtumat merkitään automaattisesti väärä.
Manifold Securityn mukaan Claude-laajennus ei tarkistanut tätä ominaisuutta ennen tekoälytyönkulun aloittamista.
Tämä tarkoitti, että haitallinen Chrome-laajennus, jolla on lupa toimia verkkotunnuksella claude.ai voisi luoda erityisen sivuelementin, määrittää jonkin tuetuista tehtävätunnisteista ja sitten luoda synteettisen napsautuksen. Vaikka selain merkitsi tapahtuman oikein epäluotettavaksi, Claude-laajennus käsitteli sitä laillisena käyttäjän napsautuksena ja suoritti pyydetyn tekoälytoiminnon.
Hyökkäys on rajallinen, mutta sillä voi olla merkittäviä seurauksia
Tutkijat korostavat, että haavoittuvuus ei salli mielivaltaista komentojen injektointia tai hyökkääjien suorittavan mielivaltaisia komentoja Clauden kautta. Sen sijaan hyökkäys rajoittuu laajennukseen sisäänrakennettuihin yhdeksään ennalta määriteltyyn tekoälytyönkulkuun.
Hyökkääjä ei myöskään voi vaarantaa Claudea suoraan verkkosivuston kautta. Jotta hyökkäys onnistuisi, käyttäjä on ensin huijattava asentamaan haitallinen Chrome-laajennus, jolla on lupa suorittaa koodia siinä. claude.ai.
Kun tällainen laajennus on asennettu, se voi muokata verkkosivua ja käynnistää Claude-laajennuksen sisäänrakennetut työnkulut ilman, että käyttäjä käynnistää niitä tahallaan.
Voi väärinkäyttää Clauden pääsyä ulkoisiin palveluihin
Vaikka haitallisella selainlaajennuksella on jo laaja pääsy verkkosivustoille, joilla se toimii, tutkijat uskovat, että tämä haavoittuvuus aiheuttaa lisäriskin, koska se voi hyödyntää Clauden todennettua pääsyä yhdistettyihin palveluihin.
Vaikutuksen suuruus riippuu muun muassa siitä, miten Claude-lisäys on määritetty ja onko käyttäjä ottanut ominaisuuden käyttöön “"Toimi kysymättä"”, joka sallii tiettyjen ennalta määritettyjen työnkulkujen suorittamisen automaattisesti ilman erillistä hyväksyntää.
Ympäristöissä, joissa Claudella on pääsy arkaluonteisiin tietoihin tai liiketoimintajärjestelmiin, seuraukset voivat siksi olla suurempia kuin tyypillisellä haitallisella selainlaajennuksella.
Lisätietoa valtuutustarkistuksista
Tutkijat tunnistivat myös sisäisen parametrin, skipPermissions=true, mikä saattoi ohittaa tietyt valtuutustarkistukset laajennuksen käynnistyksen yhteydessä.
He kuitenkin huomauttivat, että tätä mekanismia ei voitu hyödyntää suoraan yksinään. Toimivan hyökkäyksen luominen edellyttäisi lisähaavoittuvuutta, jolla voitaisiin luoda erityisesti muotoiltu URL-osoite.
Anthropic sai tiedon bug bounty -ohjelman kautta
Molemmat löydökset ilmoitettiin Anthropicille yrityksen bug bounty -ohjelman kautta.
Antrooppinen vahvisti raportit ja totesi, että synteettisen klikkauksen ongelma oli jo kirjattu osana laajempaa turvallisuustoimenpidettä. Toinen löydös, joka koski parametria skipPermissions=true, luokiteltiin informatiiviseksi.
Manifold Securityn mukaan molemmat virheet ovat edelleen toistettavissa versiossa 1.0.80 Claude Chrome -laajennuksen, joka julkaistiin 7. heinäkuuta.
Raportissaan tutkijat kirjoittavat:
“Manifold vahvisti 7. heinäkuuta, että molemmat tulokset ovat edelleen toistettavissa versiossa 1.0.80. Analysoimamme sisältöskriptit ja sivupalkin käsittelijät ovat tavujen osalta identtisiä version 1.0.72 lähdekoodin kanssa.”
Tällä hetkellä on epäselvää, milloin Anthropic korjaa tärkeimmän haavoittuvuuden. Siihen asti käyttäjiä kehotetaan asentamaan Chrome-laajennuksia vain luotettavilta kehittäjiltä, tarkistamaan asennettujen laajennusten käyttöoikeudet säännöllisesti ja välttämään tarpeettomien käyttöoikeuksien myöntämistä laajennuksille, joilla on pääsy claude.ai, Google Workspace tai muut liiketoimintakriittiset palvelut.








