Версия 1.0.41 и ниже расширения Claude Chrome содержит уязвимость внедрения опасных подсказок, необходимо срочно обновить.

DeepTech TechFlow сообщает, что 27 марта, согласно отчету Koi, расширение Claude Chrome компании Anthropic содержит уязвимость высокого риска внедрения триггерных слов, и все версии ниже 1.0.41 подвержены воздействию.

Злоумышленники могут создавать вредоносные веб-страницы, тихо загружать в фоновом режиме iframe с уязвимостью Cross-Site Scripting (XSS), а затем выполнять вредоносные нагрузки внутри поддомена a-cdn.claude.ai. Поскольку этот поддомен входит в доверенный белый список расширения, злоумышленники могут напрямую отправлять вредоносные триггерные слова в расширение Claude и автоматически выполнять их, при этом пользователю не требуется разрешение или какие-либо клики, жертва остается неосведомленной.

Эта уязвимость позволяет злоумышленникам управлять расширением Claude, читать документы пользователя в Google Drive, похищать токены доступа к бизнес-приложениям или экспортировать историю чатов, а также захватывать текущую сессию браузера для выполнения чувствительных операций, таких как отправка электронной почты, от имени жертвы.

GoPlus рекомендует пользователям немедленно обновить расширение Claude до версии 1.0.41 или выше и остерегаться фишинговых ссылок.