Beveiligingslek in Claude Chrome Dit zou een kwaadwillende browserextensie in staat kunnen stellen om vooraf gedefinieerde AI-workflows te activeren via gesimuleerde gebruikersklikken. De kwetsbaarheid zou vervolgens misbruikt kunnen worden. Claude heeft toegang tot diensten zoals Gmail, Google Docs, Google Calendar en Salesforce., afhankelijk van hoe de extensie is geconfigureerd en welke machtigingen de gebruiker eraan heeft verleend.
De kwetsbaarheid werd ontdekt door de beveiligingsonderzoeker Axe Sharma bij Manifold Security. Volgens de onderzoeker ligt het probleem in de manier waarop de Chrome-extensie Claude van Anthropic vaststelt of een gebruiker daadwerkelijk een van de ingebouwde AI-workflows heeft gestart.
Hoe de Claude Chrome-kwetsbaarheid werkt
Chrome-extensies Programma's die toestemming hebben om op een website te draaien, kunnen JavaScript in de pagina-inhoud injecteren. Dit betekent dat ze informatie kunnen lezen en wijzigen, pagina-elementen kunnen manipuleren en programmatisch klik- en toetsenbordgebeurtenissen kunnen genereren.
Volgens Veelvoudige beveiliging De Claude-extensie luistert naar klikken op specifieke pagina-elementen die worden gebruikt om vooraf gedefinieerde AI-workflows te starten. Deze workflows stellen Claude in staat taken uit te voeren in gekoppelde services, waaronder:
- Gmail: Lees de meest recente e-mails, herken reclamemails en meld je af.
- Google Docs: Open het meest recente document van de gebruiker en lees de opmerkingen en feedback.
- Google Agenda: Analyseer de agenda, zoek beschikbare tijden en plan vergaderingen in.
- Salesforce: Leads bijwerken en omzetten in zakelijke kansen.
Ik heb niet gecontroleerd of de klik van een echte gebruiker afkomstig was.
De onderzoekers ontdekten dat De toevoeging van Claude JavaScript-gegenereerde klikken werden geaccepteerd zonder te controleren of ze van een echte gebruiker afkomstig waren.
Webbrowsers gebruiken de eigenschap Event.isTrusted om onderscheid te maken tussen gebeurtenissen die door een gebruiker zijn gecreëerd en gebeurtenissen die programmatisch via JavaScript zijn gegenereerd. Bijvoorbeeld wanneer een gebruiker op de muis klikt, Event.isTrusted naar WAAR, terwijl synthetische gebeurtenissen automatisch worden gemarkeerd als onjuist.
Volgens Manifold Security controleerde de Claude-extensie deze eigenschap niet voordat een AI-workflow werd gestart.
Dit betekende dat een kwaadaardige Chrome-extensie met toestemming op het domein kon draaien. claude.ai Er kon een speciaal pagina-element worden aangemaakt, een van de ondersteunde taak-ID's worden opgegeven en vervolgens een synthetische klik worden gegenereerd. Hoewel de browser de gebeurtenis terecht als onbetrouwbaar markeerde, behandelde de Claude-extensie deze als een legitieme gebruikersklik en voerde de gevraagde AI-actie uit.
De aanval is beperkt, maar kan aanzienlijke gevolgen hebben.
De onderzoekers benadrukken dat de kwetsbaarheid geen willekeurige promptinjectie mogelijk maakt en aanvallers niet in staat stelt willekeurige commando's via Claude uit te voeren. De aanval is daarentegen beperkt tot de negen vooraf gedefinieerde AI-workflows die in de extensie zijn ingebouwd.
Een aanvaller kan Claude ook niet rechtstreeks via een website compromitteren. Om de aanval te laten slagen, moet de gebruiker eerst worden verleid om een kwaadaardige Chrome-extensie te installeren die toestemming heeft om code uit te voeren. claude.ai.
Zodra een dergelijke extensie is geïnstalleerd, kan deze de webpagina manipuleren en de ingebouwde workflows van de Claude-extensie activeren zonder dat de gebruiker deze opzettelijk hoeft te starten.
Kan misbruik maken van Claude's toegang tot externe diensten
Hoewel een kwaadaardige browserextensie al uitgebreide toegang heeft tot de websites waarop deze draait, zijn onderzoekers van mening dat deze kwetsbaarheid een extra risico vormt, omdat deze misbruik kan maken van Claude's geauthenticeerde toegang tot verbonden services.
De omvang van de impact hangt onder meer af van hoe De toevoeging van Claude is geconfigureerd en als de gebruiker de functie heeft ingeschakeld. “"Handel zonder te vragen"”, waardoor bepaalde vooraf gedefinieerde workflows automatisch kunnen worden uitgevoerd zonder verdere goedkeuring.
In omgevingen waar Claude toegang heeft tot gevoelige informatie of bedrijfssystemen, kunnen de gevolgen daarom groter zijn dan bij een doorsnee kwaadaardige browserextensie.
Nader onderzoek naar autorisatiecontroles
De onderzoekers identificeerden ook een interne parameter., skipPermissions=true, waardoor bepaalde autorisatiecontroles omzeild konden worden bij de lancering van de extensie.
Ze merkten echter op dat dit mechanisme op zichzelf niet direct kon worden misbruikt. Om een werkende aanval te creëren, zou een extra kwetsbaarheid nodig zijn om een speciaal geconstrueerde URL te maken.
Anthropic werd via het bug bounty-programma op de hoogte gebracht.
Beide bevindingen werden aan Anthropic gemeld via het bug bounty-programma van het bedrijf.
Antropisch De rapporten werden bevestigd en er werd gesteld dat het probleem met de synthetische klik al was vastgelegd als onderdeel van een grotere beveiligingsmaatregel. De tweede ontdekking, die betrekking had op de parameter, werd gedaan. skipPermissions=true, werd als informatief geclassificeerd.
Volgens Manifold Security zijn beide kwetsbaarheden nog steeds reproduceerbaar in versie 1.0.80 Deze Chrome-extensie van Claude werd op 7 juli gepubliceerd.
In hun rapport schrijven de onderzoekers:
“Manifold heeft op 7 juli bevestigd dat beide resultaten nog steeds reproduceerbaar zijn in versie 1.0.80. Het contentscript en de sidebar-handlers die we hebben geanalyseerd, zijn byte-identiek aan de broncode in versie 1.0.72.”
Het is momenteel onduidelijk wanneer Anthropic de belangrijkste kwetsbaarheid zal verhelpen. Tot die tijd wordt gebruikers aangeraden alleen Chrome-extensies van vertrouwde ontwikkelaars te installeren, regelmatig de machtigingen van geïnstalleerde extensies te controleren en te voorkomen dat onnodige machtigingen worden verleend aan extensies die toegang hebben tot bepaalde gegevens. claude.ai, Google Workspace of andere bedrijfskritische diensten.








