V-Help
← Все новости
Безопасность

Уязвимость в расширении Claude для Chrome позволяет злоумышленникам запускать AI-задачи

Уязвимость в расширении Claude для Chrome позволяет злоумышленникам запускать AI-задачи

Фото: BleepingComputer

Краткий ответ

Уязвимость в расширении Claude для Chrome позволяет вредоносным расширениям запускать AI-задачи, используя доступ к Gmail, Google Docs и другим сервисам.

Эксперты по кибербезопасности из Manifold Security обнаружили уязвимость в расширении Claude для браузера Chrome, разработанном компанией Anthropic. Проблема позволяет вредоносным расширениям запускать предопределённые AI-задачи, используя доступ к сторонним сервисам, таким как Gmail, Google Docs, Google Calendar и Salesforce.

Уязвимость связана с тем, что расширение Claude не проверяет подлинность событий, генерируемых JavaScript. В браузере Chrome события, инициированные реальными действиями пользователя (например, кликами мыши), помечаются как доверенные (Event.isTrusted=true). Однако события, созданные скриптами, автоматически получают метку Event.isTrusted=false. Расширение Claude игнорировало эту проверку, что позволяло злоумышленникам имитировать действия пользователя.

Исследователи отметили, что атака ограничена девятью предустановленными задачами, такими как чтение писем в Gmail, анализ комментариев в Google Docs или создание встреч в Google Calendar. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя установить вредоносное расширение, которое сможет выполнять код на странице claude.ai и запускать AI-задачи без его ведома.

Помимо основной уязвимости, специалисты обнаружили внутренний параметр skipPermissions=true, который мог обходить некоторые проверки прав доступа. Однако этот механизм не был напрямую эксплуатируем и требовал дополнительных уязвимостей для использования. Обе проблемы были переданы Anthropic через программу bug bounty, но, по данным Manifold Security, они остаются актуальными в последней версии расширения (1.0.80).

Частые вопросы

Какие сервисы могут быть затронуты уязвимостью в расширении Claude?
Уязвимость затрагивает доступ к Gmail, Google Docs, Google Calendar и Salesforce, так как расширение Claude может выполнять в них предопределённые действия.
Как злоумышленники могут эксплуатировать эту уязвимость?
Для эксплуатации требуется установка вредоносного расширения Chrome, которое может имитировать клики пользователя на странице claude.ai и запускать AI-задачи без его согласия.
Исправлена ли уязвимость в последней версии расширения?
Нет, по данным исследователей, уязвимость сохраняется в версии 1.0.80, выпущенной 7 июля.
Поделиться:

Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml

Почему этому можно верить

Материал подготовлен редакцией V-Help на основе первоисточника с указанием даты публикации.

Публикация: Новостной отдел V-Help.ru

Источник материала: BleepingComputer