TechFlowより、3月27日、GoPlusがKoiの報告を引用して報じたところによると、Anthropic社が提供するClaude Chrome拡張機能に、重大なプロンプトインジェクション脆弱性が存在することが明らかになった。この脆弱性は、1.0.41より前のすべてのバージョンの拡張機能に影響を及ぼす。
攻撃者は悪意のあるWebページを構築し、バックグラウンドで静かに、クロスサイトスクリプティング(XSS)脆弱性を含むiframeを読み込むことで、a-cdn.claude.aiサブドメイン内で悪意あるペイロードを実行可能である。当該サブドメインは拡張機能の信頼ホワイトリストに登録されているため、攻撃者はClaude拡張機能に対して直接悪意あるプロンプトを送信・自動実行できる。この一連の操作にはユーザーの承認やクリック操作は一切不要であり、被害者はまったく気付かない。
本脆弱性を悪用することで、攻撃者はClaude拡張機能を介してユーザーのGoogle Drive文書を読み取ったり、業務用アクセストークンを窃取したり、チャット履歴をエクスポートしたりすることが可能となる。さらに、攻撃者は現在のブラウザセッションを乗っ取り、被害者の身分を装ってメール送信などの機密操作を実行することも可能である。
GoPlusは、ユーザーに対し、直ちにClaude拡張機能を1.0.41以降のバージョンへ更新すること、およびフィッシングリンクへの注意を呼びかけている。
お気に入りに追加
SNSで共有
