В расширении Anthropic Claude для браузера Chrome, известном как Claude in Chrome, обнаружен дефект, который может позволить другим вредоносным расширениям перехватить его управление, компрометируя доверенные рабочие процессы с использованием ИИ.
Исследователи из LayerX Security предупредили, что чрезмерно доверчивые потоки взаимодействия браузера с Claude могут быть использованы для внедрения скриптов, способных потенциально захватить возможности ассистента и манипулировать сеансами просмотра.
LayerX назвала эту уязвимость «ClaudeBleed».
«LayerX сообщила об уязвимости Anthropic», — заявил исследователь LayerX Авиад Гишпан в посте в блоге. «Anthropic ответила, что им уже известно об этой проблеме и что она будет исправлена в следующей версии расширения». Однако Гишпан добавил, что исправление от Anthropic было частичным, и уязвимость все еще может быть использована.
В посте были продемонстрированы различные способы, которыми уязвимость все еще может быть использована, включая отправку файла из папки Google Drive постороннему лицу, отправку электронного письма от имени удаленного злоумышленника, кражу кода из частного репозитория на GitHub и обобщение писем с их отправкой внешнему пользователю.
«ClaudeBleed — это наглядная демонстрация того, почему мониторинг ИИ-агентов на уровне промптов в принципе недостаточен», — отметил Акшар Шарма, руководитель отдела исследований в Manifold Security. «Самая сложная часть этой атаки — не внедрение, а то, что воспринимаемая среда агента была изменена таким образом, чтобы генерировать действия, выглядевшие легитимными изнутри. Именно от такого класса угроз индустрии необходимо вырабатывать защиту».
Вредоносно внедренные инструкции могут привести к атакам
Гишпан сообщил, что проблема заключается в инструкции в коде расширения, которая позволяет произвольным скриптам, запущенным в браузере, взаимодействовать с LLM Claude. Но в коде нет проверки того, кто именно запускает скрипт.
Это потенциально позволяет любому расширению вызывать вредоносный скрипт, не требуя никаких специальных разрешений, который может отдавать команды расширению Claude.
«Расширение предоставляет привилегированный интерфейс обмена сообщениями для основной LLM claude.ai через `externally_connectable` — это настройка манифеста, определяющая, каким внешним веб-сайтам или расширениям разрешено взаимодействовать с вашим расширением», — пояснил Гишпан. «Оно доверяет источнику (claude.ai), а не фактическому контексту выполнения».
В результате даже «минимальное» расширение может выполнять произвольные промпты, нарушать защитные механизмы LLM Claude, обходить потоки подтверждения пользователем, манипулировать восприятием интерфейса Claude и выполнять конфиденциальные межсайтовые действия (Gmail, Google Drive, GitHub).
«Эта уязвимость фактически нарушает модель безопасности расширений Chrome, позволяя расширению с нулевыми разрешениями наследовать возможности доверенного ИИ-ассистента», — подчеркнул Гишпан.
Anthropic исправила проблему, но
Anthropic выпустила обновленную версию расширения (версия 1.0.70) 6 мая с заплаткой и оговоркой.
В своем обновлении, как пояснил Гишпан, Anthropic добавила уровень внутренних проверок безопасности для предотвращения выполнения расширениями удаленных команд, но эти проверки применялись только к «стандартному» режиму. Переключив расширение в «привилегированный» режим, который не требует явного разрешения пользователя или уведомления, можно было вернуть уязвимость и выполнять команды так же, как и раньше.
По сообщениям, Anthropic обещала обновление, которое удалит ответственный обработчик сообщений. «Исправление, удаляющее затронутый обработчик сообщений, было объединено и будет выпущено в следующем обновлении расширения», — сказал Гишпан, ссылаясь на сообщение компании.
Но исправление не выполнило обещания. «Вопреки их первоначальному ответу, обработчик сообщений `externally_connectable` не был удален, но Anthropic добавила дополнительные потоки утверждения для привилегированных действий», — добавил он.
Anthropic не сразу ответила на запрос CSO о комментариях.
LayerX рекомендовала несколько мер по смягчению последствий, включая введение токенов аутентификации от расширения к странице, таких как подписанные запросы, ограничение разрешений `externally_connectable` доверенными идентификаторами расширений вместо источников, а также привязку одобрений пользователей к конкретным действиям и одноразовым токенам.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
