AIセキュリティ企業のManifoldは、5月にAnthropicに報告した2件の脆弱性が、同社のエージェント型ブラウザ拡張機能「Claude for Chrome」の最新バージョンにおいても依然として悪用可能な状態にあると指摘しています。
Manifoldによると、これらの脆弱性を悪用すれば、悪意あるブラウザ拡張機能が被害者による実際のクリックや承認なしにClaudeを操り、ユーザーに代わって行動を取らせることができるといいます。攻撃者はこれを悪用することで、Gmailのメッセージ、Google Docsの文書、カレンダーの予定を読み取ることが可能になります。
この問題の根本は、Anthropicが今年初めに「ClaudeBleed」と呼ばれる類似の脆弱性への対応として実施した修正に関連しています。この修正では、外部のWebページがClaudeに送り込めるプロンプトを制限し、拡張機能が受け付けるタスクを事前承認された一定の範囲に絞り込んでいました。
Manifoldが発見したのは、これらのタスクを起動する仕組みが、クリックが実際に本物のユーザーによるものかどうかを検証していないという点です。つまり、別の拡張機能がこの操作を偽装し、処理を開始させることが可能になります。
拡張機能の既定設定では、この攻撃を仕掛けると、機密性の高い動作が実行される前に確認プロンプトが表示されます。しかし、ユーザーが拡張機能のより自律的なモード(「確認せずに実行」)を有効にしている場合、攻撃者の操作は目に見える警告なしに進行してしまいます。
Manifoldはさらに、これに関連する2つ目の設計上の欠陥も指摘しています。それは、Claudeのサイドパネルが、自身のURLに含まれるパラメーターに基づいて、ユーザーの操作を一切必要とせずに、直接その「確認なし」モードで起動できてしまうというものです。
研究者らは、このURLを構築できるのは本来拡張機能自身のみであるため、現時点では攻撃者がこれを悪用することはできないと述べています。しかし彼らは、これは構造的なリスクであり、将来的に外部スクリプトがこのURLの構築方法に影響を及ぼせるようなバグが見つかれば、攻撃者がユーザーの連携アカウントを密かに掌握できてしまう恐れがあると主張しています。
Manifoldは、ClaudeBleedの研究結果が公表された直後の5月21日に、この調査結果をAnthropicに報告しました。AI大手のAnthropicは、事前承認されたタスクのリストについて、完全な修正が展開されるまでの暫定的な緩和策としてClaudeBleedに対応するものだと説明していました。しかしManifoldによれば、それ以降にリリースされた8つのバージョンのいずれも、最新版の1.0.80を含め、これらの脆弱性を修正していないとみられるといいます。
SecurityWeekはAnthropicにコメントを求めています。
翻訳元: https://www.securityweek.com/unpatched-claude-for-chrome-flaw-lets-extensions-read-gmail-calendar/