技术说明
LayerX Security披露了Anthropic的Claude in Chrome扩展中的一个漏洞(被称为ClaudeBleed),该漏洞允许任何其他Chrome扩展——即使是那些没有特殊权限的扩展——劫持AI代理并发出任意命令。该缺陷源于过度宽松的消息传递配置,该配置信任源(claude.ai)而不是执行上下文,允许恶意扩展注入提示、绕过护栏,并在Google Drive、Gmail和GitHub上执行跨站操作。
攻击途径
攻击者分发一个最小的Chrome扩展,其声明的内容脚本配置为在Main world中运行。当受害者访问claude.ai时,恶意扩展可以向Claude的扩展发送消息,这些消息是受信任的,因为它们源自claude.ai域。然后攻击者可以执行任意提示,操纵Claude对UI的感知(例如,隐藏敏感标签),并触发未经授权的操作,如从Google Drive渗取文件或代表用户发送电子邮件。
受影响系统
Claude in Chrome扩展1.0.70版本之前的版本。Anthropic在5月6日的1.0.70版本中发布了部分修复,但LayerX研究人员证明该漏洞仍可通过在不通知用户的情况下将扩展切换到"特权"模式来利用。
缓解措施
Anthropic已被通知并承诺在即将发布的版本中移除受影响的消息处理程序。用户应避免安装不受信任的Chrome扩展,并在完整修复发布之前禁用Claude in Chrome扩展。使用Claude进行敏感工作流的组织应审核浏览器扩展策略并考虑对AI代理会话进行沙箱化。