AnthropicのClaude for Chromeブラウザ拡張機能に存在する2件の未修正脆弱性により、悪意あるブラウザ拡張機能がClaudeのエージェント機能を乗っ取り、被害者のGmail、Google Docs、Googleカレンダーのデータを密かに読み取れることが判明しました。
この脆弱性を報告したのはManifoldのAx Sharma氏です。2026年7月7日にリリースされたv1.0.80でも再現可能であり、これは5月に最初に報告されてから8回のリリースを経てもなお未修正であることを意味します。1つ目の脆弱性は、Claudeのコンテンツスクリプトにevent.isTrustedのチェックが欠如していることに起因します。
以前のClaudeBleed開示を受けてAnthropicが外部からのプロンプトインジェクションを制限して以降、この拡張機能は特定のDOM要素へのクリックを通じてトリガーされる、usecase-gmail、usecase-gdocs、usecase-calendarを含む9つのハードコードされたタスクIDのみを受け付けるようになっていました。
問題は、そのクリックハンドラーがクリックが本当にユーザーによって行われたものかどうかを一切検証していない点にあります。
claude.aiにコンテンツスクリプトを持つ拡張機能であれば、どれでもトリガー要素を注入し合成クリックを発火させることができ、その結果、実際のユーザーの同意なしにClaudeに権限を要する情報読み取りタスクを実行させることが可能になります。
2つ目の問題は、Claudeのサイドパネルが特権モードに入る際の仕組みに関するものです。URLに「skipPermissions=true」というパラメータを付けてパネルを読み込むと、すべてのチェックをスキップする権限状態が設定されてしまい、ユーザー操作や同意確認は一切要求されません。
警告バナーは表示されるものの、それは特権モードがすでに有効になった後です。Anthropicはこのパラメータは内部でのみ設定されるものであり、現時点では直接リモートから悪用可能ではないと主張しています。
これに対しManifoldは、将来サイドパネルのURL構築を露出させるバグが1つでも見つかれば、ユーザーの連携アカウントへの静かな重大(Critical)レベルのアクセスが即座に許されてしまう、潜在的なエスカレーション経路を生み出していると反論しています。
Manifoldは両方の問題を2026年5月21日、v1.0.72の時点でAnthropicに報告しました。Anthropicは翌日には報告を確認したものの、その後両方ともクローズしています。1件は信頼境界の問題に関する既存の追跡報告に統合され、もう1件は「参考情報」としてクローズされました。
Anthropicの内部追跡issueは6月9日より前に「解決済み(Resolved)」とマークされていました。しかし、Manifoldが7月7日に行った検証では、該当するコンテンツスクリプトとサイドパネルのコードが、脆弱性のあった元のバージョンとバイト単位で完全に一致していることが確認されています。
Ax Sharma氏は、これをLayerXによる以前のClaudeBleed開示と直接重なる事例だとしています。あのときも、公表された修正が後に不完全だったことが判明していました。
今回の2つの発見はいずれも、OWASPのLLM Top 10、具体的には間接的プロンプトインジェクションと過剰なエージェンシー(excessive agency)に該当するもので、エージェント型AIセキュリティにおいて拡大しつつある死角を浮き彫りにしています。従来の監視ツールが目にするのは、認証済みのHTTPSトラフィックと稼働中の拡張機能だけであり、ログ上には何一つ不審な点が現れません。
この侵害は、「どのようなメッセージを送信できるか」と「何が真のユーザーの意図とみなされるか」という信頼境界の内側で、完全に完結してしまいます。提案されている修正はごく単純で、isTrustedのチェックを1つ追加するだけですが、それでも8回のリリースサイクルを経てなお実装されていません。
Claude for Chromeのようなエージェント型ブラウザ拡張機能を導入している組織にとって、この事例は静的なアクセス制御の前提に頼るのではなく、実行時の挙動監視の必要性を改めて浮き彫りにするものです。
翻訳元: https://cyberpress.org/claude-for-chrome-flaw/