この脆弱性により、悪意のある拡張機能がGmail、Docsなどへのアクセスを含む特権的なAI操作を実行できてしまいます。
Manifold Securityの調査によると、Anthropicの「Claude for Chrome」拡張機能に見つかった2件の脆弱性は、同社への報告から数か月が経過した現在も悪用可能な状態のままとなっています。
研究者によれば、この脆弱性を悪用すると、悪意のあるブラウザ拡張機能がClaudeを操作し、ユーザーに代わってGmailのメッセージ、Google Docsのコンテンツ、カレンダーの予定などを読み取らせるといった特権的な操作を実行させることが可能になるとのことです。
研究者は新たに公開したブログ投稿の中で、この問題は7月7日にリリースされたClaude for Chromeバージョン1.0.80でも再現可能であり、5月に最初に報告してから8回のリリースを経た今なお未解決のままだと述べています。
「Anthropicは私たちの報告後の数週間でv1.0.73からv1.0.80までをリリースしました」と研究者は付け加えています。「この脆弱性のクラスを対象とした社内トラッキングのissueは、私たちの報告後の数週間で『解決済み』としてマークされていました」
しかし、最新バージョンのコンテンツスクリプトおよびサイドパネルのハンドラーは、研究者が当初検証したv1.0.72と「バイト単位で同一」のままだといいます。研究者は、Anthropicが修正を発表したにもかかわらず脆弱性が悪用可能なままだったことが判明した、以前のClaudeBleedの開示事例との類似性を指摘しています。
Anthropicは、CSOのコメント要請に対して即座には回答しませんでした。
合成クリックが信頼されたAIを欺く
1つ目の脆弱性は、特権的な操作を実行する前にClaude for Chromeがユーザーの操作をどのように処理するかに起因しています。Manifoldによると、この拡張機能のクリックハンドラーは、承認クリックがブラウザの「event.isTrusted」プロパティを通じて実際のユーザーから発生したものかどうかを検証していません。
つまり、Claude.aiにスクリプトを注入できる別のブラウザ拡張機能があれば、Claudeが正当なものとして受け入れてしまう合成クリックを生成できてしまうということです。
デフォルト設定の場合、この攻撃によって承認ダイアログが表示される前に、Claudeが定義済みのブラウザタスクの1つを自動的にトリガーしてしまう可能性があります。さらに、ユーザーが拡張機能の「確認なしで実行」モードを有効にしている場合、Claudeはそれらの操作を確認なしに実行してしまうことがあり、攻撃者がGmailのコンテンツ、Google Docsのデータ、カレンダー情報を取得できてしまう恐れがあると研究者は指摘しています。
この攻撃は、Chrome自体の欠陥を突くものではなく、認可されたブラウザエージェントとしてのClaudeに置かれた信頼を悪用するものです。Manifoldは、わずか6行のJavaScriptでこの攻撃を実証してみせました。
研究者によれば、この脆弱性はクリックハンドラーの先頭に「if (!n.isTrusted) return;」という1行を追加するだけで簡単に修正できるとのことです。
問題のある特権モード
2つ目の発見は、Claudeのサイドパネルが権限モデルをどのように初期化するかに焦点を当てたものです。
Manifoldは、「?skipPermissions=true」というパラメータを付けてパネルを読み込むと、繰り返しの確認プロンプトを回避するための特権モードに拡張機能が入ってしまうことを発見しました。研究者は、現時点でこのパラメータを外部から直接制御できる経路は特定していないものの、特権的な挙動がユーザーが制御可能な入力ではなくURLの値に依存しているという設計自体が、潜在的なセキュリティリスクを生み出していると主張しています。
将来、このパラメータに影響を与えることが可能な脆弱性が見つかれば、追加のセキュリティチェックを必要とすることなく昇格した権限を引き継いでしまう可能性があると研究者は述べています。
これら2つの発見に対処するため、Manifoldは、特権的な操作を実行する前に正当なユーザー操作であることを検証すること、URLに基づく権限の移行を避けること、そして拡張機能内部のワークフローにおける認証を強化することを推奨しています。