深潮 TechFlow 消息,3 月 27 日,據 GoPlus 援引 Koi 報告,Anthropic 旗下 Claude Chrome 擴展程序存在一個高危提示詞注入漏洞,所有低於 1.0.41 版本的擴展均受影響。
攻擊者可通過構造惡意網頁,在後臺靜默加載含跨站腳本(XSS)漏洞的 iframe,並在 a-cdn.claude.ai 子域內執行惡意載荷。由於該子域處於擴展程序的信任白名單內,攻擊者可直接向 Claude 擴展下發惡意提示詞並自動執行,整個過程無需用戶授權或任何點擊操作,受害者無感知。
該漏洞可導致攻擊者操控 Claude 擴展讀取用戶 Google Drive 文檔、竊取業務訪問令牌或導出聊天記錄,並可藉此接管當前瀏覽器會話,以受害者身份執行發送郵件等敏感操作。
GoPlus 建議用戶立即將 Claude 擴展更新至 1.0.41 或以上版本,同時警惕釣魚鏈接。
添加收藏
分享社交媒體
