Onderzoekers hebben een kwetsbaarheid in de Claude Google Chrome-extensie van Anthropic onthuld die misbruikt kon worden om schadelijke prompts te activeren door simpelweg een webpagina te bezoeken. De fout maakte het mogelijk dat elke website stilzwijgend prompts injecteerde in de assistent alsof de gebruiker deze zelf had ingevoerd, zonder dat er klikken of toestemming nodig waren.

De kwetsbaarheid berustte op twee onderliggende problemen. Ten eerste was er een te ruime origin allowlist in de extensie, waardoor elk subdomein dat voldeed aan het patroon (*.claude.ai) een prompt kon sturen naar Claude voor uitvoering. Ten tweede was er een DOM-gebaseerde cross-site scripting (XSS) kwetsbaarheid aanwezig in een Arkose Labs CAPTCHA-component die gehost werd op "a-cdn.claude.ai". Deze XSS-fout maakte het mogelijk om willekeurige JavaScript-code uit te voeren binnen de context van dat subdomein. Een aanvaller kon deze combinatie gebruiken om JavaScript te injecteren dat een prompt naar de Claude-extensie stuurde. Omdat de extensie prompts accepteerde van domeinen op de allowlist, verscheen de kwaadaardige prompt in de zijbalk van Claude alsof het een legitiem verzoek van de gebruiker was.

De aanval verliep via een verborgen iframe waarin de kwetsbare Arkose-component werd geladen. Via postMessage werd de XSS payload verzonden, waarna het geïnjecteerde script de prompt naar de extensie stuurde zonder dat de gebruiker iets merkte. Bij succesvolle exploitatie kon een aanvaller gevoelige gegevens stelen, zoals toegangstokens, de gespreksgeschiedenis met de AI-agent inzien en zelfs acties namens het slachtoffer uitvoeren, zoals het versturen van e-mails of het opvragen van vertrouwelijke informatie.

Na een verantwoordelijke melding op 27 december 2025 heeft Anthropic een patch uitgerold die een strikte origin-check afdwingt, waarbij alleen exacte matches met het domein "claude.ai" worden geaccepteerd. Arkose Labs heeft de XSS-kwetsbaarheid op 19 februari 2026 verholpen. Volgens de onderzoekers benadrukt deze kwetsbaarheid dat naarmate AI-browserassistenten geavanceerder worden, ze ook aantrekkelijkere doelwitten vormen voor aanvallers. De beveiliging van dergelijke extensies is slechts zo sterk als de zwakste vertrouwde origin binnen hun beveiligingsgrenzen.