Penjelasan teknis
LayerX Security mengungkapkan kerentanan (dijuluki ClaudeBleed) dalam ekstensi Claude in Chrome milik Anthropic yang memungkinkan ekstensi Chrome lain—bahkan yang tanpa izin khusus—untuk membajak agen AI dan mengeluarkan perintah arbitrer. Cacat ini berasal dari konfigurasi penerusan pesan yang terlalu permisif yang mempercayai asal (claude.ai) daripada konteks eksekusi, memungkinkan ekstensi berbahaya untuk menyuntikkan prompt, melewati guardrail, dan melakukan tindakan lintas situs di Google Drive, Gmail, dan GitHub.
Vektor serangan
Penyerang mendistribusikan ekstensi Chrome minimal dengan skrip konten yang dideklarasikan dikonfigurasi untuk berjalan di dunia Utama. Ketika korban mengunjungi claude.ai, ekstensi berbahaya dapat mengirim pesan ke ekstensi Claude, yang dipercaya karena berasal dari domain claude.ai. Penyerang kemudian dapat mengeksekusi prompt arbitrer, memanipulasi persepsi Claude tentang UI (misalnya, menyembunyikan label sensitif), dan memicu tindakan tidak sah seperti mengeksfiltrasi file dari Google Drive atau mengirim email atas nama pengguna.
Sistem yang terdampak
Versi ekstensi Claude in Chrome sebelum 1.0.70. Anthropic mengeluarkan perbaikan parsial dalam versi 1.0.70 pada 6 Mei, tetapi peneliti LayerX menunjukkan kerentanan masih dapat dieksploitasi dengan beralih ekstensi ke mode 'istimewa' tanpa pemberitahuan pengguna.
Mitigasi
Anthropic telah diberitahu dan berkomitmen untuk menghapus pengendali pesan yang terpengaruh dalam rilis mendatang. Pengguna harus menghindari pemasangan ekstensi Chrome yang tidak terpercaya dan menonaktifkan ekstensi Claude in Chrome sampai perbaikan lengkap dirilis. Organisasi yang menggunakan Claude untuk alur kerja sensitif harus mengaudit kebijakan ekstensi browser dan mempertimbangkan sandbox sesi agen AI.