Уязвимость в расширении Claude для Chrome позволяла запускать ИИ-действия через вредоносные расширения

2026-07-17 86 комментарии
Исследователи обнаружили, что расширение Claude для Chrome не проверяло подлинность пользовательских кликов. Вредоносное расширение могло запускать встроенные ИИ-сценарии и использовать авторизованный доступ Claude к Gmail, Google Документам, Google Календарю, Salesforce и другим подключенным сервисам

Уязвимость в браузерном расширении Claude для Chrome позволяла вредоносному расширению имитировать клики пользователя и запускать заранее настроенные ИИ-сценарии. В результате злоумышленники могли использовать доступ Claude к подключенным сервисам, включая Gmail, Google Документы, Google Календарь и Salesforce.

Проблему обнаружил исследователь Акс Шарма (Ax Sharma) из компании Manifold Security. По его словам, уязвимость была связана с тем, как расширение Claude определяло, действительно ли пользователь сам запустил встроенную задачу.

Как работает атака

Расширения Chrome, которым разрешено работать на определенном сайте, могут внедрять JavaScript-код на страницу. Это позволяет им читать и изменять содержимое сайта, редактировать элементы интерфейса, получать доступ к отображаемой информации, а также программно создавать события мыши и клавиатуры.

Согласно отчету Manifold Security, расширение Claude отслеживало клики по определенному элементу страницы, который запускал один из встроенных ИИ-сценариев. Эти сценарии представляют собой заранее настроенные задачи, с помощью которых Claude может выполнять действия в подключенных сервисах, включая Gmail, Google Документы, Google Календарь и Salesforce.

Расширение поддерживает следующие сценарии:

  • usecase-gmail – открыть последние письма в Gmail, найти рекламные рассылки и нажать кнопку отписки;
  • usecase-gdocs – открыть последний документ пользователя в Google Документы, прочитать все комментарии и замечания;
  • usecase-calendar – проверить Google Календарь, найти свободное время и создать встречи;
  • usecase-salesforce – изменить данные потенциальных клиентов в Salesforce и преобразовать их в сделки.

Исследователи выяснили, что расширение принимало клики, созданные с помощью JavaScript, и не проверяло, действительно ли действие выполнил пользователь.

Игнорирование Event.isTrusted

Когда браузер создает событие после реального действия – например, клика мышью или нажатия клавиши – он помечает его как доверенное. Для этого свойству Event.isTrusted присваивается значение true.

Если событие создает JavaScript, браузер автоматически устанавливает Event.isTrusted в false. Благодаря этому сайты и расширения могут отличать реальные действия пользователя от программно сгенерированных событий.

По данным Manifold Security, расширение Claude не проверяло значение Event.isTrusted перед запуском встроенного сценария. Поэтому оно не могло определить, был ли клик настоящим или его создал сторонний код.

Вредоносное расширение, получившее разрешение изменять содержимое страниц на домене claude.ai, могло добавить на страницу элемент с идентификатором одной из девяти поддерживаемых задач, а затем программно сгенерировать клик по нему.

Браузер корректно помечал такое событие как недоверенное. Однако, по словам Шармы, расширение Claude все равно воспринимало его как обычный пользовательский клик и запускало соответствующее действие ИИ.

Ограничения атаки

Исследователь уточняет, что уязвимость не позволяла передавать Claude произвольные команды или внедрять собственные промпты. Возможности атаки ограничивались девятью заранее заданными сценариями, встроенными в расширение.

Атака не позволяла обычному сайту напрямую скомпрометировать расширение Claude. Сначала злоумышленнику требовалось убедить пользователя установить вредоносное расширение с правом выполнять код на сайте claude.ai.

После установки такое расширение могло изменять содержимое страницы и запускать встроенные сценарии Claude.

Само по себе вредоносное расширение уже получает широкие возможности на сайтах, к которым имеет доступ. Однако исследователи отмечают, что эта уязвимость дополнительно позволяла использовать авторизованный доступ Claude к подключенным сервисам пользователя.

Последствия атаки зависели от настроек расширения Claude. В частности, от того, требовалось ли подтверждение для чувствительных действий и была ли включена необязательная функция Act without asking («Действовать без подтверждения»). При ее использовании предустановленные сценарии могли выполняться автоматически.

Исследователи также обнаружили внутренний параметр skipPermissions=true, который позволял обходить часть проверок разрешений при запуске расширения.

При этом сам по себе этот механизм нельзя было использовать для атаки. Для его эксплуатации потребовалась бы другая уязвимость, позволяющая создать и открыть специально подготовленный URL.

comss img 2026 07 17 120332
comss img 2026 07 17 120334

Реакция Anthropic

Anthropic подтвердила получение отчетов. Сообщение об уязвимости с поддельными кликами компания закрыла, пояснив, что уже отслеживает эту проблему в рамках более широкого расследования. Вторую находку, связанную с внутренним параметром skipPermissions=true, Anthropic классифицировала как информационную.

По данным Manifold Security, обе проблемы по-прежнему можно воспроизвести в актуальной версии расширения Claude для Chrome – 1.0.80, выпущенной 7 июля.

Исследователи повторно проверили уязвимости 7 июля и подтвердили, что они остаются рабочими. Более того, код обработчиков в контент-скрипте и боковой панели, на который они ссылались в отчете, полностью совпадает с кодом версии 1.0.72.

© . По материалам BleepingComputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте