Claude Chrome sikkerhetsfeil kan tillate at en ondsinnet nettleserutvidelse utløser forhåndsdefinerte AI-arbeidsflyter gjennom simulerte brukerklikk. Feilen kan igjen misbrukes Claudes tilgang til tjenester som Gmail, Google Dokumenter, Google Kalender og Salesforce, avhengig av hvordan utvidelsen er konfigurert og hvilke tillatelser brukeren har gitt den.
Sårbarheten ble oppdaget av sikkerhetsforskeren Axe Sharma hos Manifold Security. Ifølge forskeren ligger problemet i hvordan Anthropics Chrome-utvidelse Claude avgjør om en bruker faktisk har startet en av de innebygde AI-arbeidsflytene.
Hvordan Claude Chrome-sårbarheten fungerer
Chrome-utvidelser som har tillatelse til å kjøre på et nettsted, kan injisere JavaScript i sidens innhold. Dette betyr at de kan lese og endre informasjon, manipulere sideelementer og generere klikk- og tastaturhendelser programmatisk.
Ifølge Manifold Security Claude-utvidelsen lytter etter klikk på bestemte sideelementer som brukes til å starte forhåndsdefinerte AI-arbeidsflyter. Disse arbeidsflytene lar Claude utføre oppgaver i tilkoblede tjenester, inkludert:
- Gmail: les de nyeste e-postene, identifiser reklame-e-poster og avmeld deg.
- Google Dokumenter: åpne brukerens nyeste dokument og les kommentarer og tilbakemeldinger.
- Google Kalender: analyser kalenderen, finn tilgjengelige tider og opprett møter.
- Salesforce: oppdatere potensielle kunder og konvertere dem til forretningsmuligheter.
Sjekket ikke om klikket kom fra en ekte bruker
Forskerne oppdaget at Claude-tillegget godtok JavaScript-genererte klikk uten å sjekke om de kom fra en ekte bruker.
Nettlesere bruker egenskapen Event.erPålitelig å skille mellom hendelser opprettet av en bruker og de som genereres programmatisk via JavaScript. For eksempel, når en bruker klikker med musen, Event.erPålitelig til ekte, mens syntetiske hendelser automatisk merkes som falsk.
Ifølge Manifold Security sjekket ikke Claude-utvidelsen denne egenskapen før den startet en AI-arbeidsflyt.
Dette betydde at en ondsinnet Chrome-utvidelse med tillatelse til å kjøre på domenet claude.ai kunne opprette et spesielt sideelement, spesifisere en av de støttede oppgaveidentifikatorene og deretter generere et syntetisk klikk. Selv om nettleseren korrekt markerte hendelsen som ikke-klarert, behandlet Claude-utvidelsen den som et legitimt brukerklikk og utførte den forespurte AI-handlingen.
Angrepet er begrenset, men kan få betydelige konsekvenser
Forskerne understreker at sårbarheten ikke tillater vilkårlig prompt injection eller lar angripere kjøre vilkårlige kommandoer gjennom Claude. I stedet er angrepet begrenset til de ni forhåndsdefinerte AI-arbeidsflytene som er innebygd i utvidelsen.
En angriper kan heller ikke kompromittere Claude direkte via et nettsted. For at angrepet skal lykkes, må brukeren først bli lurt til å installere en ondsinnet Chrome-utvidelse som har tillatelse til å kjøre kode på den. claude.ai.
Når en slik utvidelse er installert, kan den manipulere nettsiden og utløse Claude-utvidelsens innebygde arbeidsflyter uten at brukeren med vilje starter dem.
Kan misbruke Claudes tilgang til eksterne tjenester
Selv om en ondsinnet nettleserutvidelse allerede har omfattende tilgang til nettstedene den kjører på, mener forskere at denne sårbarheten utgjør en ekstra risiko fordi den kan utnytte Claudes autentiserte tilgang til tilkoblede tjenester.
Hvor stor effekten blir avhenger blant annet av hvordan Claude-tillegget er konfigurert, og hvis brukeren har aktivert funksjonen “Handle uten å spørre”, som tillater at visse forhåndsdefinerte arbeidsflyter kjører automatisk uten ytterligere godkjenning.
I miljøer der Claude har tilgang til sensitiv informasjon eller forretningssystemer, kan konsekvensene derfor være større enn med en typisk ondsinnet nettleserutvidelse.
Ytterligere oppdagelser rundt autorisasjonskontroller
Forskerne identifiserte også en intern parameter, skipPermissions=true, som kunne omgå visse autorisasjonskontroller da utvidelsen ble lansert.
De bemerket imidlertid at denne mekanismen ikke kunne utnyttes direkte alene. For å lage et fungerende angrep, ville det kreves en ekstra sårbarhet for å konstruere en spesiallaget URL.
Anthropic ble informert via bug bounty-programmet
Begge funnene ble rapportert til Anthropic gjennom selskapets bug bounty-program.
Antropisk bekreftet rapportene og uttalte at problemet med syntetisk klikk allerede var registrert som en del av en større sikkerhetsinnsats. Den andre oppdagelsen, som gjaldt parameteren skipPermissions=true, ble klassifisert som informativ.
Ifølge Manifold Security er begge feilene fortsatt reproduserbare i versjon 1.0.80 av Claude Chrome-utvidelsen, som ble publisert 7. juli.
I rapporten sin skriver forskerne:
“Manifold bekreftet 7. juli at begge resultatene fortsatt er reproduserbare i versjon 1.0.80. Innholdsskriptet og sidefeltbehandlerne som vi analyserte er byte-identiske med kildekoden i versjon 1.0.72.”
Det er for øyeblikket uklart når Anthropic vil fikse hovedsårbarheten. Inntil da anbefales brukere å kun installere Chrome-utvidelser fra pålitelige utviklere, regelmessig gjennomgå tillatelsene til installerte utvidelser og unngå å gi unødvendige tillatelser til utvidelser som har tilgang til claude.ai, Google Workspace eller andre forretningskritiske tjenester.








