Een kwetsbaarheid in de Claude-extensie voor Chrome kan aanvallers in staat stellen de AI-agent over te nemen en te misbruiken voor het stelen van informatie, meldt cybersecuritybedrijf LayerX. De fout, aangeduid als ClaudeBleed, ontstaat door een combinatie van te ruime permissies, waarbij elke Chrome-extensie commando's kan uitvoeren in Claude, en een gebrekkige controle op de herkomst van deze commando's in plaats van de context waarin ze worden uitgevoerd.

Volgens LayerX is het grootste probleem dat de Claude-extensie interactie toestaat met elk script dat draait in de browser, zonder te verifiëren wie de eigenaar is. Hierdoor kan iedere extensie een content script aanroepen, waarvoor geen speciale rechten nodig zijn, en commando's naar Claude sturen. Claude vertrouwt daarbij op de herkomst van de uitvoering, namelijk claude.ai, en niet op de daadwerkelijke uitvoeringscontext. Dit maakt het mogelijk dat elke JavaScript-code die binnen deze herkomst draait, geprivilegieerde commando's kan uitvoeren.

Een aanvaller kan zo een extensie maken met een content script dat in de Main world draait, waardoor het script als onderdeel van de pagina wordt uitgevoerd. Vervolgens kan het een bericht sturen naar de Claude-extensie, die de afzender vertrouwt omdat deze binnen claude.ai draait. Omdat een message handler in Claude willekeurige prompts accepteert en doorstuurt, kan de aanvaller op afstand prompt-injecties uitvoeren en de acties van de AI-agent controleren.

Hoewel Claude gebruikersbevestiging vereist voor gevoelige acties en beleid hanteert om bepaalde handelingen te voorkomen, ontdekte LayerX dat deze bescherming kan worden omzeild. De onderzoekers slaagden erin gebruikersgoedkeuring te vervalsen door herhaaldelijk bevestigingsberichten te sturen en gebruikten manipulatie van het Document Object Model (DOM) om de gebruikersinterface dynamisch aan te passen en zo Claude’s waarneming van de acties te veranderen. Ook konden zij via herhaalde activering van commando’s inzicht krijgen in de uitvoering ervan.

LayerX stelt dat deze kwetsbaarheid het beveiligingsmodel van Chrome-extensies effectief ondermijnt door een extensie zonder permissies de mogelijkheden van een vertrouwde AI-assistent te laten erven. Met deze aanvalsketen kan een aanvaller Claude inzetten om data te exfiltreren uit Gmail, GitHub of Google Drive, maar ook om namens de gebruiker e-mails te versturen, data te verwijderen en documenten te delen.

Na melding van het probleem gaf Anthropic aan te werken aan een patch, maar deze oplossing pakt de onderliggende kwetsbaarheid slechts gedeeltelijk aan. De fix bestaat uit interne beveiligingscontroles die voorkomen dat extensies in de ‘standaard’ modus externe commando’s uitvoeren. Omdat de kern van het probleem niet is opgelost, kan een aanvaller eenvoudig overschakelen naar de ‘privileged’ modus en zo de patch omzeilen. De gebruiker wordt hier niet over geïnformeerd of om toestemming gevraagd, aldus LayerX.