Новые уязвимости в Claude для Chrome позволяют расширениям злоупотреблять привилегиями ИИ

Claude уязвимости Chrome расширение безопасность Anthropic csoonline.com

Уязвимости в расширении Claude for Chrome остаются неисправленными спустя месяцы после отчета. Злоумышленники могут читать Gmail, Google Docs и календарь. Узнайте, как защититься от атак через синтетические клики и привилегированный режим.

Две уязвимости, обнаруженные в расширении Claude for Chrome от Anthropic, остаются эксплуатируемыми спустя месяцы после того, как о них сообщили компании, отмечается в исследовании Manifold Security.

По словам исследователей, эти недостатки могут позволить вредоносному расширению браузера заставить Claude выполнять привилегированные действия, включая чтение сообщений Gmail, содержимого Google Docs и записей календаря от имени пользователя.

В новой записи в блоге исследователи заявили, что проблемы воспроизводятся в версии Claude for Chrome 1.0.80, выпущенной 7 июля, и остаются нерешенными спустя восемь релизов после того, как о них впервые сообщили в мае.

«Anthropic выпустила версии с v1.0.73 по v1.0.80 в течение нескольких недель после нашего отчета», — добавили исследователи. «Внутренняя задача по отслеживанию, касающаяся этого класса уязвимостей, была помечена как „решена“ в течение нескольких недель после нашего отчета».

Однако обработчики контентных скриптов и боковой панели в последней версии остаются «побайтно идентичными» версии v1.0.72, которую исследователи тестировали изначально. Исследователи провели параллели с более ранним раскрытием ClaudeBleed, где проблема оказалась эксплуатируемой, несмотря на объявление Anthropic об исправлении.

Anthropic не сразу ответила на запрос CSO о комментарии.

Синтетические клики обманывают доверенный ИИ

Первая уязвимость связана с тем, как Claude for Chrome обрабатывает взаимодействие с пользователем перед выполнением привилегированных действий. По данным Manifold, обработчик кликов расширения не проверяет, был ли клик подтверждения совершен реальным пользователем, через свойство браузера «event.isTrusted».

Это означает, что другое расширение браузера, способное внедрять скрипты в Claude.ai, может генерировать синтетические клики, которые Claude принимает как легитимные.

В конфигурациях по умолчанию атака может автоматически запустить одну из предопределенных задач браузера Claude перед отображением диалога подтверждения. Однако, если пользователи включили режим расширения «Действовать без запроса», Claude может выполнять эти действия молча, позволяя злоумышленнику извлекать содержимое Gmail, данные Google Docs или информацию календаря, отметил исследователь.

Вместо эксплуатации недостатка в самом Chrome атака злоупотребляет доверием, оказанным Claude как авторизованному агенту браузера. Manifold продемонстрировала эксплойт в шести строках JavaScript.

Исследователи заявили, что недостаток можно просто исправить, добавив одну строку «if (!n.isTrusted) return;» в начало обработчика кликов.

Проблемный привилегированный режим

Вторая находка сосредоточена на том, как боковая панель Claude инициализирует свою модель разрешений.

Manifold обнаружила, что загрузка панели с параметром «?skipPermissions=true» заставляет расширение переходить в привилегированный режим, предназначенный для обхода повторяющихся запросов подтверждения. Хотя исследователи не выявили прямого внешнего пути для управления этим параметром на сегодняшний день, они утверждают, что такая конструкция создает скрытый риск безопасности, поскольку привилегированное поведение зависит от значения URL, а не от вводимых пользователем данных.

Любая будущая уязвимость, способная повлиять на этот параметр, может унаследовать повышенные привилегии без необходимости дополнительных проверок безопасности, отметили исследователи.

Для устранения обеих находок Manifold рекомендует проверять подлинность взаимодействий с пользователем перед выполнением привилегированных действий, избегать переключения привилегий на основе URL и усилить аутентификацию внутренних рабочих процессов расширения.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: