ClaudeBleed:Claude浏览器扩展中的一个漏洞允许任何扩展程序劫持它
一句话看懂:LayerX 安全团队发现,Claude 的 Chrome 扩展存在严重设计缺陷——任何零权限的 Chrome 扩展都能劫持 Claude,读取用户隐私数据并执行恶意操作。目前 Anthropic 已给出不完整的修复,漏洞仍然可被利用。
事件核心:发生了什么
LayerX 的研究人员发现,Claude 的 Chrome 扩展(“Claude in Chrome”)在 manifest 中通过 externally_connectable 对外开放了一条“特权消息接口”,允许任何运行在 claude.ai 域内的脚本与 Claude 的大模型通信。问题在于,该接口仅检查消息来源的“域名”,而不验证“谁”在运行脚本。因此,任何浏览器扩展只需注入一个内容脚本(无需任何特殊权限),就能向 Claude 扩展发送指令,完全控制其行为。LayerX 在 PoC 中展示了攻击者可以:从 Google Drive 提取文件并分享给外部人员、以用户身份发送邮件、窃取 GitHub 私有仓库代码、总结最近5封邮件并发送给外部用户后删除发送记录。Anthropic 在 v1.0.70 版本中进行了部分修复:保留了外部访问,但新增了内部安全检查。然而,攻击者只需将扩展切换至“特权模式”(无需用户知情或同意)即可绕过该检查,漏洞依然存在。
为什么重要
这个漏洞实际上“打破了 Chrome 的扩展安全模型”:一个零权限的扩展可以继承 Claude 这一高权限 AI 助手的全部能力。从更宏观的角度看,它暴露了 AI 工具在“功能优先”开发理念下的共性隐患——为了追求自动化和生产力,厂商将信任边界扩展得过宽,忽视了基础安全设计。Claude 作为市场上主流的大模型产品,这一漏洞不仅直接威胁用户的 Gmail、Google Drive、GitHub 等敏感数据,更让攻击者能以用户身份自主执行跨站操作,形成“特权升级”攻击基元。对于整个 AI Agent 生态(如 AutoGPT、Agentic 工具)而言,类似的设计模式很可能普遍存在,这为行业的安全红线设定了明确警示。
对用户/开发者/创作者的影响
对普通用户:如果你的 Chrome 浏览器安装了多个扩展(尤其是未在 Cluade.ai 域下运行的),你的 Claude 账户可能被其他恶意扩展“遥控”读取邮件、文档或代码。目前最直接的防御是禁用 Claude 扩展,或在 claude.ai 上限制敏感操作(如有条件)。
对开发者/企业:安全团队应立即自查是否安装了 Claude 扩展,并评估其内部数据访问风险。更通用的是,任何在浏览器中提供 Agent 能力的 AI 扩展(如 AI 写作助手、邮件自动回复插件)都应重新检查其扩展通信接口是否做了完整的上下文登录证。
对创建者/工具提供商:Anthropic 的不完整修复说明此类缺陷容易被低优先级或最小修复策略对待。行业应推动形成“浏览器 AI 扩展安全白皮书”,将可信接口的代码注入校验、用户确认流程等作为强制设计约束。
值得关注的后续
1. Anthropic 的最终修复版本何时发布:目前仅 v1.0.70 有部分缓解,但未解决信任边界问题。用户需留意后续版本更新公告及是否彻底修改 manifest 设计。
2. Chrome 扩展商店的审核机制是否会改变:这一漏洞展示了一种零权限扩展窃取高阶权限的方法,Google 可能将 AI 扩展间的通信模式纳入自动审核规则。
3. 其他 AI 扩展是否存在类似问题:类似的外部通信接口设计(如 OpenAI ChatGPT 扩展、微软 Copilot 扩展等)可能同样存在信任边界缺陷,行业研究或监管可能跟进。
