5月に最初に報告された「ClaudeBleed」は、基本的には「偽のリモコン」問題です。悪意のあるブラウザ拡張機能がClaude自身のウェブサイトになりすまし、Claude for Chrome拡張機能を密かに操作して、ユーザーのデータを読み取ったりアカウント上で操作を実行させたりすることができてしまいます。
Claude for Chromeブラウザ拡張機能は、ユーザーが依頼すればGmailやGoogleドライブなどのサービスにアクセスする権限を持つアシスタントです。ClaudeBleedが発生するのは、この拡張機能が「ユーザー本人が助けを求めているのか」と「悪意のあるスクリプトがユーザーの代わりに要求しているのか」を確実に区別できないためです。
つまり、ユーザーがボタンをクリックして「Claude、このメールを読んで」と依頼する代わりに、悪質な拡張機能が背後でこっそり同じリクエストをささやくと、Claudeはそれに応じてしまいます。あるいは、ユーザー本人になりすましてClaudeにメールを作成・送信させることもできます。
悪質な拡張機能がユーザー本人であるかのようにClaudeへコマンドを送信できるようになると、次のようなことが可能になります。
- Claude for Chromeが公開しているツールの範囲に応じて、Claudeに自分のGmailを読ませたり、Googleドライブのファイルを取得させたり、非公開のGitHubリポジトリを複製させたりできます。
- ユーザーがログインしているセッションの下で、Claudeにメールを送信させたり文書を操作させたりできます。しかも、そのリクエストがユーザー本人からのものではないことを示す明らかな兆候はありません。
- ユーザーの目には一見普通のClaudeとのやり取りや短い権限確認プロンプトしか見えませんが、実際の操作主はバックグラウンドで動いている悪質な拡張機能です。
Anthropicは翌日に研究者からの報告を確認し、その後どちらも解決済みとしてクローズしました。しかし研究者らによると、Anthropicの修正はいくつかの症状には対処したものの、権限の受け渡しやエージェンシー制御という根本的な仕組みは依然として脆弱なままだといいます。例えば、許可リスト方式のパッチによって「何を」要求できるかは変わったものの、「誰が」要求できるかは変わっていません。
Claude for Chromeの最新バージョンを調査したManifold Securityは、次のように記しています。
「Claude for Chromeのリリースを8回重ねた後も、このバイパスは依然としてわずか6行のJavaScriptで実現できます。私たちは5月にAnthropicへ報告しましたが、最新バージョンでもコードは変更されていません」
安全を保つには
Claude for Chromeを自動的にタスクを実行させる用途で信頼する前に、これがまだ正式にはベータ版であることを利用者は忘れないようにすべきです。以下にいくつかのポイントを挙げます。
- Claude for Chromeの「確認なしで実行」をオフにしてください。これによりアシスタントが承認なしで操作を実行する機能が無効になり、悪質な拡張機能が権限を悪用することがはるかに難しくなります。
- Chromeの拡張機能を見直し、完全に信頼できないものは削除してください。claude.ai上でスクリプトを実行できる拡張機能であれば、Claudeのタスクをトリガーできる可能性があるため、拡張機能の一覧はできるだけ少なく保ちましょう。見覚えのない拡張機能や使用していない拡張機能があれば削除してください。
- GmailやGoogleドキュメント、Googleカレンダーなど機密性の高いアカウントへのアクセスをAIブラウザアシスタントに許可する際は慎重を期してください。アシスタントがアクセスできるサービスを制限することで、何か問題が発生した際の被害範囲を減らすことができます。
- Anthropicがより包括的な修正を提供するまでは、機密性の高いメールや文書、業務用アカウントを扱うシステムではClaude for Chromeを無効化することを検討してください。
被害が及ぶ前に脅威を食い止めましょう。
Malwarebytes Browser Guardは、フィッシングページや悪意のあるサイトを自動的にブロックします。無料で、ワンクリックでインストールできます。ブラウザに追加する →