← Inicio

Falla en la extensión Claude para Chrome permite que extensiones maliciosas activen acciones de IA

1) El hecho Una falla en la extensión Claude para Chrome de Anthropic permite que extensiones maliciosas activen acciones de IA predefinidas simulando clics de usuario. Descubierta por Manifold Security, la vulnerabilidad explota la ausencia de verificación de la propiedad Event.isTrusted — la extensión acepta eventos generados por JavaScript como interacciones legítimas sin comprobar si se originaron de un usuario humano real. La falla sigue siendo explotable en la versión 1.0.80, lanzada el 7 de julio, y fue confirmada como byte-idéntica al código fuente de la v1.0.72 por los investigadores.

2) Contexto Chrome marca eventos generados por JavaScript con Event.isTrusted=false, mientras que las interacciones reales de usuario reciben true como mecanismo fundamental de seguridad del navegador. La extensión Claude ignora por completo esta distinción. Un atacante necesita que la víctima instale una extensión maliciosa con permiso para modificar contenido en claude.ai, que luego inyecta elementos HTML y genera clics sintéticos que activan hasta nueve workflows predefinidos como leer Gmail para identificar correos promocionales y cancelar suscripciones, modificar Google Docs, crear eventos en Calendar y alterar leads en Salesforce.

3) Análisis El impacto es matizado pero significativo. La falla no permite inyección arbitraria de prompts, solo nueve tareas predefinidas incorporadas en el código de la extensión. Sin embargo, esto es suficiente para causar daño real: una extensión maliciosa podría usar el acceso OAuth autenticado de Claude a Gmail, Google Docs y Salesforce para exfiltrar datos empresariales confidenciales sin el conocimiento ni consentimiento del usuario. El vector de ataque — requerir una extensión maliciosa ya instalada con permisos de script de contenido en claude.ai — reduce la severidad aparente, pero el problema real es de confianza en el modelo de permisos de Chrome: las extensiones comprometidas o maliciosas pueden secuestrar las capacidades de otras extensiones sin que el usuario lo sepa. Anthropic cerró el informe diciendo que ya monitoreaban el problema de forma más amplia, pero la falla sigue siendo explotable en la última versión de la extensión. El parámetro interno 'skipPermissions=true' encontrado por los investigadores, aunque no explotable de forma independiente, expande la superficie de ataque potencial de manera significativa.

4) Qué observar • Los usuarios con "Actuar sin preguntar" activado son más vulnerables, ya que los workflows predefinidos se ejecutan automáticamente sin confirmación del usuario. • Anthropic debe implementar verificación de Event.isTrusted y validación adicional de origen de eventos como prioridad. • Esto plantea preguntas sobre la seguridad de todo el ecosistema de extensiones de IA — no solo Claude sino también Copilot, Gemini y herramientas similares. • El parámetro 'skipPermissions=true' sugiere que la superficie de ataque puede ser mayor de lo reportado inicialmente al público.

Fuente: BleepingComputer