Claude Chrome säkerhetsbrist kan göra det möjligt för ett skadligt webbläsartillägg att utlösa fördefinierade AI-arbetsflöden genom simulerade användarklick. Bristen kan i sin tur missbruka Claudes åtkomst till tjänster som Gmail, Google Dokument, Google Kalender och Salesforce, beroende på hur tillägget är konfigurerat och vilka behörigheter användaren har gett det.
Sårbarheten upptäcktes av säkerhetsforskaren Ax Sharma på Manifold Security. Enligt forskaren ligger problemet i hur Anthropics Chrome-tillägg Claude avgör om en användare faktiskt har initierat ett av dess inbyggda AI-arbetsflöden.
Hur Claude Chrome säkerhetsbrist fungerar
Chrome-tillägg som har behörighet att köras på en webbplats kan injicera JavaScript i sidans innehåll. Det innebär att de kan läsa och ändra information, manipulera sidelement samt generera klick- och tangentbordshändelser programmatiskt.
Enligt Manifold Security lyssnar Claude-tillägget efter klick på specifika sidelement som används för att starta fördefinierade AI-arbetsflöden. Dessa arbetsflöden gör det möjligt för Claude att utföra uppgifter i anslutna tjänster, bland annat:
- Gmail: läsa de senaste mejlen, identifiera reklamutskick och avsluta prenumerationer.
- Google Dokument: öppna användarens senaste dokument och läsa kommentarer samt feedback.
- Google Kalender: analysera kalendern, hitta lediga tider och skapa möten.
- Salesforce: uppdatera leads och konvertera dem till affärsmöjligheter.
Kontrollerade inte om klicket kom från en riktig användare
Forskarna upptäckte att Claude-tillägget accepterade JavaScript-genererade klick utan att kontrollera om de kom från en verklig användare.
Webbläsare använder egenskapen Event.isTrusted för att skilja mellan händelser som skapats av en användare och sådana som genererats programmatiskt via JavaScript. När en användare exempelvis klickar med musen sätts Event.isTrusted till true, medan syntetiska händelser automatiskt markeras som false.
Enligt Manifold Security kontrollerade Claude-tillägget inte denna egenskap innan ett AI-arbetsflöde startades.
Det innebar att ett skadligt Chrome-tillägg med behörighet att köras på domänen claude.ai kunde skapa ett särskilt sidelement, ange en av de stödda uppgiftsidentifierarna och därefter generera ett syntetiskt klick. Trots att webbläsaren korrekt markerade händelsen som opålitlig behandlade Claude-tillägget den som ett legitimt användarklick och utförde den begärda AI-åtgärden.
Attacken är begränsad men kan få betydande konsekvenser
Forskarna betonar att sårbarheten inte möjliggör godtycklig promptinjektion eller att angripare kan köra valfria kommandon genom Claude. Attacken är i stället begränsad till de nio fördefinierade AI-arbetsflöden som finns inbyggda i tillägget.
En angripare kan inte heller kompromettera Claude direkt via en webbplats. För att attacken ska lyckas måste användaren först luras att installera ett skadligt Chrome-tillägg som har behörighet att köra kod på claude.ai.
När ett sådant tillägg väl är installerat kan det manipulera webbsidan och utlösa Claude-tilläggets inbyggda arbetsflöden utan att användaren avsiktligt initierar dem.
Kan missbruka Claudes åtkomst till externa tjänster
Även om ett skadligt webbläsartillägg redan har omfattande åtkomst till de webbplatser där det körs, menar forskarna att denna sårbarhet innebär en ytterligare risk eftersom den kan utnyttja Claudes autentiserade åtkomst till anslutna tjänster.
Hur stor påverkan blir beror bland annat på hur Claude-tillägget är konfigurerat och om användaren har aktiverat funktionen “Agera utan att fråga”, som gör att vissa fördefinierade arbetsflöden kan köras automatiskt utan ytterligare godkännande.
I miljöer där Claude har åtkomst till känslig information eller affärssystem kan konsekvenserna därför bli större än vid ett vanligt skadligt webbläsartillägg.
Ytterligare upptäckt kring behörighetskontroller
Forskarna identifierade även en intern parameter, skipPermissions=true, som kunde kringgå vissa behörighetskontroller när tillägget startades.
De konstaterade dock att denna mekanism inte kunde utnyttjas direkt på egen hand. För att skapa en fungerande attack skulle ytterligare en sårbarhet krävas för att konstruera en specialutformad URL.
Anthropic informerades via bug bounty-programmet
Båda resultaten rapporterades till Anthropic genom företagets bug bounty-program.
Anthropic bekräftade rapporterna och uppgav att problemet med syntetiska klick redan fanns registrerat som en del av ett större säkerhetsarbete. Den andra upptäckten, som rörde parametern skipPermissions=true, klassificerades som informativ.
Enligt Manifold Security är båda bristerna fortfarande reproducerbara i version 1.0.80 av Claude Chrome-tillägget, som publicerades den 7 juli.
I sin rapport skriver forskarna:
“Manifold verifierade den 7 juli att båda resultaten fortfarande är reproducerbara i version 1.0.80. Innehållsskriptet och sidopanelshanterarna som vi analyserade är byte-identiska med källkoden i version 1.0.72.”
Det är i nuläget oklart när Anthropic kommer att åtgärda den huvudsakliga sårbarheten. Tills dess rekommenderas användare att endast installera Chrome-tillägg från betrodda utvecklare, regelbundet granska vilka behörigheter installerade tillägg har och undvika att ge onödiga rättigheter till tillägg som har åtkomst till claude.ai, Google Workspace eller andra affärskritiska tjänster.








