Исследователи из Manifold Security выявили две уязвимости в расширении Claude for Chrome от компании Anthropic, которые остаются неисправленными даже после восьми обновлений. Уязвимости позволяют любому вредоносному браузерному расширению, имеющему доступ к скриптам на сайте claude.ai, инициировать выполнение AI-агентом действий от имени жертвы - чтение писем Gmail, содержимого Google Docs, данных Google Календаря, а также взаимодействие с Salesforce, DoorDash и Zillow. Версия расширения 1.0.801.0, выпущенная 7 июля 2026 года, воспроизводит обе проблемы, несмотря на то, что исследователи сообщили о них Anthropic в мае.
Детали уязвимости
Первая уязвимость связана с обработчиком кликов в контент-скрипте расширения. В исходном коде присутствует прослушиватель событий, который срабатывает при клике на элемент с идентификатором "#claude-onboarding-button". Обработчик считывает значение атрибута "data-task-id" и передаёт один из девяти жёстко заданных запросов боковой панели Claude. Как отмечает исследователь Manifold Security Акс Шарма, любой скрипт, имеющий доступ к DOM-дереву на странице claude.ai, может создать подходящий элемент, присвоить ему разрешённый идентификатор задачи и отправить синтезированный клик. Проблема в том, что обработчик не проверяет свойство "isTrusted" у события - механизм, позволяющий отличить реальное действие пользователя от программно сгенерированного. В результате Claude воспринимает поддельный клик как легитимный.
Разрешённые запросы не ограничены безопасными обучающими сценариями. В список входят "usecase-gmail" (чтение последних писем и поиск рекламных сообщений), "usecase-gdocs" (открытие последнего документа и чтение комментариев), "usecase-calendar" (проверка свободных слотов и создание встреч). В стандартной конфигурации, когда включён режим "Спрашивать перед действием", перед выполнением любого действия появляется диалог подтверждения - атака возможна только при одобрении жертвой. Однако если пользователь ранее включил режим "Действовать без запроса", боковая панель выполнит задачу молча, без отображения диалога. В этом случае злоумышленник получает прямой доступ к привилегированному режиму. По шкале CVSS уязвимость оценивается в 7,7 баллов при стандартной конфигурации и 9,6 баллов при включённом режиме автоматического выполнения.
Вторая проблема носит архитектурный характер и затрагивает инициализацию привилегированного режима боковой панели. Когда панель загружается с URL-параметром "?skipPermissions=true", она переходит в режим "Действовать без запроса" без какого-либо явного жеста или согласия пользователя. Предполагается, что этот параметр используется только внутренними компонентами расширения, например, для окон запланированных задач. Однако панель не проверяет источник URL - она просто считывает параметр и применяет соответствующие разрешения. В текущей версии 1.0.801.0 удалённая эксплуатация этого механизма невозможна, поскольку для конструирования URL с таким параметром уже требуются привилегии расширения. Тем не менее, исследователи подчёркивают высокий риск: любая будущая ошибка конструирования URL, XSS в том же расширении или неправильно открытый обработчик сообщений смогут превратить этот недостаток в бесшумный вектор атаки с критическим уровнем опасности.
Обе уязвимости классифицируются в рамках OWASP Top 10 для LLM-приложений как непрямая инъекция подсказок и чрезмерные полномочия. Исследователи Manifold отмечают, что код, отвечающий за эти проблемы, не менялся на протяжении восьми версий расширения, несмотря на то, что Anthropic закрыла отчёты. Внутренний тикет, отслеживающий проблему границ доверия, был помечен как "решённый", однако конкретные обработчики остались без изменений. Согласно заявлению Anthropic, первоначальное исправление (ограничение внешних запросов девятью фиксированными идентификаторами) было начальной мерой, но полное решение ещё не реализовано.
Для устранения найденных недостатков Manifold рекомендует добавить проверку "event.isTrusted" в обработчик клика - односрочное изменение, которое отвергает синтезированные события и пропускает только реальные пользовательские клики. Также предлагается полностью удалить инициализацию разрешений через URL-параметр, запускать боковую панель по умолчанию в режиме запроса и требовать явного переключения разрешений только через действия пользователя в интерфейсе. Пока эти исправления не внедрены, пользователям рекомендуется не устанавливать сторонние расширения в браузер, где используется Claude for Chrome, и не включать режим "Действовать без запроса" без крайней необходимости.
Ситуация повторяет предыдущие эпизоды в истории Claude: исследователи сообщают об уязвимости, Anthropic объявляет об исправлении, но затем выясняется, что исправление неполное. В данном случае проблемы лежат не в языковой модели, а именно в расширении - нарушение границ доверия между различными скриптами, выполняющимися в контексте страницы. Пока Anthropic не выпустит патч, содержащий упомянутые проверки, пользователи остаются уязвимыми к атакам со стороны других браузерных расширений, которые теоретически могут захватить сессию Claude и использовать её для доступа к личным данным.
Ссылки