기술 설명
LayerX Security는 Anthropic의 Claude in Chrome 확장 프로그램의 취약점(ClaudeBleed로 명명됨)을 공개했으며, 이 취약점을 통해 특별한 권한이 없는 다른 Chrome 확장 프로그램도 AI 에이전트를 탈취하고 임의의 명령을 실행할 수 있습니다. 이 결함은 실행 컨텍스트 대신 출처(claude.ai)를 신뢰하는 과도하게 허용적인 메시지 전달 설정에서 비롯되어 악의적인 확장 프로그램이 프롬프트를 주입하고, 보안 장치를 우회하며, Google Drive, Gmail, GitHub 전반에서 교차 사이트 작업을 수행할 수 있게 합니다.
공격 경로
공격자는 Main world에서 실행되도록 구성된 선언된 콘텐츠 스크립트가 있는 최소한의 Chrome 확장 프로그램을 배포합니다. 피해자가 claude.ai를 방문하면 악의적인 확장 프로그램은 Claude의 확장 프로그램에 메시지를 보낼 수 있으며, claude.ai 도메인에서 비롯되었기 때문에 이러한 메시지는 신뢰됩니다. 그 후 공격자는 임의의 프롬프트를 실행하고, Claude의 UI 인식을 조작하며(예: 민감한 레이블 숨기기), Google Drive에서 파일을 탈취하거나 사용자를 대신하여 이메일을 보내는 것과 같은 무단 작업을 트리거할 수 있습니다.
영향받는 시스템
1.0.70 이전의 Claude in Chrome 확장 프로그램 버전. Anthropic은 5월 6일 버전 1.0.70에서 부분적인 수정 사항을 발표했지만, LayerX 연구자들은 사용자 알림 없이 확장 프로그램을 '특권' 모드로 전환하여 취약점을 여전히 악용할 수 있음을 입증했습니다.
완화 방안
Anthropic은 통보를 받았으며 향후 릴리스에서 영향을 받은 메시지 핸들러를 제거하기로 약속했습니다. 사용자는 신뢰할 수 없는 Chrome 확장 프로그램 설치를 피하고 완전한 수정이 릴리스될 때까지 Claude in Chrome 확장 프로그램을 비활성화해야 합니다. 민감한 워크플로우에 Claude를 사용하는 조직은 브라우저 확장 프로그램 정책을 감사하고 AI 에이전트 세션 샌드박싱을 고려해야 합니다.