Уязвимость расширения Claude в Chrome позволяет перехватывать команды

LayerX обнаружила критическую уязвимость в расширении Chrome для Claude, которая позволяет вредоносным расширениям перехватывать его функциональность без каких-либо разрешений. По оценке исследователей, проблема затрагивает архитектуру взаимодействия расширения с LLM Claude и может привести к выполнению действий от имени пользователя в сервисах Gmail, Google Drive и GitHub.

В чем суть проблемы

Уязвимость связана с тем, что скрипты, выполняемые в домене claude.ai, могут взаимодействовать с Claude без проверки подлинности или контекста выполняемого кода. В результате любое расширение способно внедрить JavaScript, отправлять привилегированные команды и манипулировать пользовательскими данными.

Иными словами, Claude в такой конфигурации фактически может быть использован как proxy server для злоумышленника. Это открывает путь к перехвату конфиденциальной информации, отправке электронных писем, расшариванию файлов и другим действиям, которые пользователь не планировал выполнять.

Как работает атака

Исследователи показали, что злоумышленник может использовать вредоносное расширение для внедрения кода в страницу claude.ai. После этого скрипт получает возможность взаимодействовать с функциональностью Claude и инициировать действия с привилегиями пользователя.

Опасность усиливает использование настройки манифеста externally_connectable. По словам исследователей, она доверяет origin, а не контексту выполнения. Это означает, что любой JavaScript-код, запущенный на claude.ai, может отправлять команды напрямую расширению Claude, даже если этот код был внедрен вредоносным расширением.

Что именно может сделать атакующий

Сценарии злоупотребления выглядят особенно опасно, поскольку атака не требует стандартных разрешений расширения. Среди возможных действий:

• похищение конфиденциальной информации;
• отправка писем от имени пользователя;
• расшаривание файлов в Google Drive;
• доступ к данным и операциям в Gmail и GitHub;
• выполнение произвольных команд через интерфейс Claude.

Реакция Anthropic и ограничения исправления

Компания Anthropic, разработчик Claude, признала наличие уязвимости и выпустила частичное исправление. Однако, как отмечают в LayerX, оно не устранило основную проблему: базовая модель доверия осталась прежней.

Исправление свелось к добавлению внутренних проверок безопасности, но не затронуло сам механизм, который позволяет обходить эти проверки. Более того, даже включение privileged mode не исключает возможность манипулирования поведением расширения без уведомления пользователя.

Почему это критично

По сути, уязвимость нарушает базовую парадигму безопасности расширений Chrome. Расширения с нулевыми разрешениями получают возможность выполнять действия, которые обычно доступны только доверенным приложениям.

Отсутствие надлежащей аутентификации для сообщений, направляемых в интерфейсы Claude, означает, что несанкционированные действия могут выполняться с привилегиями пользователя. При этом обходятся стандартные потоки согласия, что создает риск непреднамеренных или прямо вредоносных последствий.

«Любое расширение может внедрить код, выполнить произвольные команды и манипулировать пользовательскими данными», — следует из описания проблемы исследователями LayerX.

Вывод

Обнаруженная LayerX уязвимость показывает, что даже продвинутые AI-инструменты могут становиться точкой входа для атак, если их архитектура доверия построена нестрого. В данном случае недостаток в механизме взаимодействия Claude с Chrome-расширением создал условия, при которых вредоносный код способен действовать от имени пользователя без явного согласия и без обычных ограничений безопасности.