Исследователи LayerX утверждают, что уязвимость, получившая название ClaudeBleed, позволяет злоумышленникам перехватывать расширение Claude для Chrome (Anthropic), извлекать любую необходимую информацию и заставлять модель выполнять активные, агентные действия от их имени.
Проблема связана с брешью границы доверия в расширении Claude in Chrome, которая позволяет скриптам, работающим в браузере, взаимодействовать с LLM без надлежащей проверки того, кто отправил запрос.
В ходе тестирования различных эксплойтов исследователи обнаружили, что вредоносные расширения для браузеров могут выдавать себя за пользователей и запускать действия с привилегиями через Claude. Это включает извлечение и передачу файлов Google Drive на внешний ресурс, удалённую отправку электронных писем и кражу исходного кода из частного репозитория на GitHub.
В одном из тестовых случаев, манипулируя учётной записью имейла, безопасники смогли «составить краткое содержание последних пяти писем пользователя, отправить их на внешний аккаунт, а затем удалить отправленное сообщение».
Специалисты впервые выявили уязвимость 27 апреля и на следующий день в частном порядке уведомили Anthropic. Там ответили, что уже знают о проблеме и планируют исправить её в следующей версии расширения (версия 1.0.70) от 6 мая. Однако в LayerX утверждают, что выпущенный патч лишь частично устранил уязвимость и не искоренил её «первопричину». Более того, главному ИБ-исследователю компании Авиаду Гиспану удалось «взломать исправление» за три часа.
В обновление Anthropic были добавлены новые проверки, предназначенные для блокировки удалённых команд в «стандартном» режиме Claude. Однако Гиспан заявил, что те же самые команды всё ещё могут выполняться при переключении расширения в «привилегированный» режим — без уведомления пользователя или запроса разрешения.
По мнению эксперта, эта уязвимость выявляет более широкую проблему: «В нынешней гонке ИИ поставщики слишком быстро развиваются и предоставляют мощные возможности для улучшения пользовательского опыта, пренебрегая базовыми принципами безопасности и открывая новые пути для злоумышленников. По мере того, как ИИ-агенты становятся нормой, эти структурные недостатки представляют собой бомбу замедленного действия».
В LayerX приводят несколько причин, по которым классифицируют брешь как «серьёзную» и «труднообнаружимую», в том числе отсутствие необходимости в каких-либо разрешениях и во взаимодействии с пользователем, а также цепочек эксплойтов или уязвимостей. Эксперты порекомендовали некоторые шаги по устранению проблемы:
- введение токенов аутентификации расширений к страницам, например, подписанных запросов;
- ограничение доступа externally_connectable только доверенными идентификаторами расширений вместо источников;
- привязка пользовательских подтверждений к конкретным действиям, одноразовым токенам и невоспроизводимым потокам.