技術的な説明
LayerX Securityは、AnthropicのClaude in Chrome拡張機能の脆弱性(ClaudeBleedと命名)を公開しました。この脆弱性により、特別な権限を持たない拡張機能を含む他のChrome拡張機能でさえ、AIエージェントをハイジャックして任意のコマンドを実行できます。この欠陥は、実行コンテキストではなくオリジン(claude.ai)を信頼する過度に許容的なメッセージ渡し構成に起因しており、悪意のある拡張機能がプロンプトを注入し、ガードレールをバイパスし、Google Drive、Gmail、GitHubにわたるクロスサイトアクションを実行できるようになります。
攻撃経路
攻撃者は、Main worldで実行するように構成されたコンテンツスクリプトが宣言された最小限のChrome拡張機能を配布します。被害者がclaude.aiにアクセスすると、悪意のある拡張機能はClaudeの拡張機能にメッセージを送信でき、これらのメッセージはclaude.aiドメインから発信されているため信頼されます。攻撃者は任意のプロンプトを実行し、UIに対するClaudeの認識を操作し(機密ラベルを非表示にするなど)、Google Driveからのファイル流出やユーザーの代わりにメール送信などの不正なアクションをトリガーできます。
影響を受けるシステム
Claude in Chrome拡張機能バージョン1.0.70より前のバージョン。Anthropicは5月6日にバージョン1.0.70で部分的な修正をリリースしましたが、LayerXの研究者は、ユーザーに通知することなく拡張機能を「特権」モードに切り替えることで、脆弱性がまだ悪用される可能性があることを実証しました。
緩和策
Anthropicは通知を受け取り、今後のリリースで影響を受けたメッセージハンドラーを削除することを約束しています。ユーザーは信頼できないChrome拡張機能のインストールを避け、完全な修正がリリースされるまでClaude in Chrome拡張機能を無効にすべきです。機密ワークフローにClaudeを使用する組織は、ブラウザ拡張機能ポリシーを監査し、AIエージェントセッションのサンドボックス化を検討すべきです。