← Home

Falha na extensão Claude para Chrome permite que extensões maliciosas acionem ações de IA

1) O fato Uma falha na extensão Claude para Chrome, da Anthropic, permite que extensões maliciosas acionem ações de IA predefinidas simulando cliques de usuário. Descoberta pela Manifold Security, a vulnerabilidade explora a ausência de verificação da propriedade Event.isTrusted nos cliques — a extensão aceita eventos gerados por JavaScript como se fossem interações legítimas de usuário. A falha permanece explorável na versão 1.0.80, lançada em 7 de julho, e foi confirmada como byte-idêntica ao código da v1.0.72.

2) Contexto O Chrome marca eventos gerados por JavaScript com Event.isTrusted=false, enquanto interações reais de usuário recebem true. A extensão Claude ignora essa distinção fundamental. Um atacante precisa que a vítima instale uma extensão maliciosa com permissão para modificar conteúdo em claude.ai. A extensão então injeta elementos HTML e gera cliques sintéticos que acionam workflows como: ler Gmail para identificar e-mails promocionais e cancelar assinaturas, abrir Google Docs para ler comentários e feedback, escanear Google Calendar para encontrar slots livres e criar reuniões, e modificar leads no Salesforce para convertê-los em oportunidades. São nove workflows predefinidos no total.

3) Análise O impacto é matizado, mas relevante. A falha não permite injeção arbitrária de prompts, apenas as nove tarefas predefinidas incorporadas à extensão. No entanto, isso é suficiente para causar danos reais: uma extensão maliciosa poderia usar o acesso autenticado OAuth de Claude ao Gmail, Google Docs e Salesforce para exfiltrar dados empresariais confidenciais sem o conhecimento do usuário. O vetor de ataque — exigir que a vítima já tenha instalado uma extensão maliciosa com permissões de script de conteúdo — reduz a severidade aparente, mas o problema real é de confiança no modelo de permissões do Chrome: extensões comprometidas podem sequestrar as capacidades de outras extensões. A Anthropic fechou o relatório afirmando que já monitorava o problema de forma mais ampla, mas a falha continua explorável. Além disso, os pesquisadores encontraram um parâmetro interno 'skipPermissions=true' que contorna certas verificações de permissão — embora não seja explorável isoladamente, expande a superfície de ataque potencial.

4) O que observar • Usuários com a opção "Agir sem perguntar" ativada estão mais vulneráveis, pois workflows predefinidos executam automaticamente sem confirmação. • A Anthropic precisa implementar verificação de Event.isTrusted e validação adicional de origem dos eventos como prioridade. • O caso levanta questões sobre segurança de todo o ecossistema de extensões de IA — não apenas Claude, mas Copilot, Gemini e similares. • O parâmetro 'skipPermissions=true' sugere que a superfície de ataque pode ser maior do que o reportado inicialmente.

Fonte: BleepingComputer