Anthropic製Claude for Chrome拡張機能に存在する2件の脆弱性により、悪意あるブラウザ拡張機能が被害者のGmail、Googleドキュメント、Googleカレンダーのデータに影響を及ぼすAI駆動のアクションを引き起こせる可能性があることが分かりました。
Hacking& Cracking
これらの問題は、2026年7月7日にリリースされたClaude for Chromeバージョン1.0.801.0でも依然として再現可能であり、5月にAnthropicへ報告済みであるにもかかわらず修正されていません。
主な問題は、`#claude-onboarding-button`セレクタを使った要素のクリックを監視するコンテンツスクリプトに起因します。イベントハンドラは`data-task-id`属性を読み取り、あらかじめ用意された9種類のプロンプトのいずれかをClaudeのサイドパネルへ転送します。
Anthropicは過去のセキュリティ上の懸念を受けて、外部からのプロンプト送信をこの許可リストに限定していましたが、報告によればクリックハンドラは、そのイベントが実際のユーザー操作によって発生したものかどうかを検証していないとのことです。
Claude for ChromeのCritical(重大)な欠陥
Manifold Securityの研究者Ax Sharma氏によると、claude.aiに対してスクリプトアクセス権を持つ拡張機能であれば、条件に一致するDOM要素を注入し、許可されたタスクIDを割り当てた上で、合成的なクリックイベントを発生させることが可能だといいます。
ハンドラがブラウザイベントの`isTrusted`プロパティを確認していないため、Claudeはプログラムによって生成されたイベントを正当なユーザーの意図であると誤って扱ってしまいます。

許可されているプロンプトは無害なオンボーディングタスクにとどまりません。最近のGmailメッセージの読み取り、宣伝メールの識別、直近のGoogleドキュメントを開いてコメントを確認する操作、カレンダーの空き状況確認、ミーティングの作成などをClaudeに指示できる内容が含まれています。さらに、SalesforceやDoorDash、Zillowといったサービスと連携するタスクにも対応しています。
Claudeのデフォルト設定である「操作前に確認する(Ask before asking)」モードでは、こうした攻撃が行われた場合でもサイドパネルに選択されたタスクが表示されるだけで、被害者が承認しない限りアクションは実行されません。
しかし、ユーザーが「確認なしで実行(Act without asking)」を有効にしている場合、影響は格段に深刻になります。このモードでは、Claudeは承認ダイアログを表示することなく呼び出されたタスクを実行できてしまうため、データへのアクセスとアクションの実行が気づかれないまま行われる経路が生まれます。
Manifoldはこの合成イベントの問題に対し、デフォルト設定ではCVSSスコア7.7、無人実行が有効な場合には9.6を割り当てています。
同社は、この欠陥がClaudeのAIモデル自体ではなく、ブラウザ拡張機能の信頼境界に関わる問題であると指摘しています。また、Opus、Sonnet、Fableのいずれのサイドパネル用モデルを選択した場合でも、この問題が再現することを確認したとしています。
2つ目の問題は、拡張機能の権限モード初期化に関するものです。報告によると、Claudeのサイドパネルは`?skipPermissions=true`というURLパラメータを付けて読み込まれると、`skip_all_permission_checks`が有効な状態で起動してしまいます。このパラメータにより、明示的なユーザー操作や同意を経ることなく、パネルを「確認なしで実行」モードにできてしまいます。
Manifoldは、この2つ目の欠陥についてはバージョン1.0.801.0の時点でリモートから直接悪用することはできないと指摘しています。必要となるサイドパネル用URLを構築するには、現状では拡張機能レベルの権限が必要になるためです。
とはいえ、これはリスクの高いアーキテクチャ上の問題であることに変わりはありません。今後URL構築に関する別の欠陥や、同一拡張機能内でのXSS、あるいは不適切に公開されたメッセージハンドラが見つかれば、それらが気づかれないまま実行される経路として悪用される可能性があります。
研究者らは、クリックハンドラ内で`event.isTrusted`を確認し、合成イベントを拒否することを推奨しています。また、Anthropicに対しては、URLパラメータによる権限初期化を廃止し、パネルはデフォルトで承認モードから開始するようにし、権限モードの移行にはユーザー主導の操作を必須とすることを求めています。
これら2つの問題は、いずれもOWASPが定めるLLMセキュリティの分類における「間接的プロンプトインジェクション」と「過剰な自律性(Excessive Agency)」に該当します。Anthropicはこれらの報告への対応を完了したとしていますが、Manifoldは、該当するコードパスは8回の拡張機能アップデートを経ても変わっていないと主張しています。
Securityaudit services
ブラウザレベルの可視性を獲得し、復号済みフィッシングページを可視化して調査を迅速化し、認証情報窃取によるコストを削減 -> ANANY.RUNでSOCを強化
翻訳元: https://gbhackers.com/critical-claude-for-chrome-flaw/