深潮 TechFlow 消息,3 月 27 日,据 GoPlus 援引 Koi 报告,Anthropic 旗下 Claude Chrome 扩展程序存在一个高危提示词注入漏洞,所有低于 1.0.41 版本的扩展均受影响。
攻击者可通过构造恶意网页,在后台静默加载含跨站脚本(XSS)漏洞的 iframe,并在 a-cdn.claude.ai 子域内执行恶意载荷。由于该子域处于扩展程序的信任白名单内,攻击者可直接向 Claude 扩展下发恶意提示词并自动执行,整个过程无需用户授权或任何点击操作,受害者无感知。
该漏洞可导致攻击者操控 Claude 扩展读取用户 Google Drive 文档、窃取业务访问令牌或导出聊天记录,并可借此接管当前浏览器会话,以受害者身份执行发送邮件等敏感操作。
GoPlus 建议用户立即将 Claude 扩展更新至 1.0.41 或以上版本,同时警惕钓鱼链接。
添加收藏
分享社交媒体
