研究人员称 Claude for Chrome 漏洞允许恶意扩展触发 Gmail 读取

研究人员称 Claude for Chrome 漏洞允许恶意扩展触发 Gmail 读取

导语:Manifold Security 发现 Claude for Chrome 浏览器扩展中存在一个高危漏洞,允许其他能在 claude.ai 上运行脚本的扩展通过伪造点击、静默触发对 Gmail、Google Docs 及 Google 日历的读取操作。在默认模式下 CVSS 评分为 7.7(高危),启用"无需询问直接执行"后升至 9.6(严重),目前尚无补丁。

任何其他能够在 claude.ai 上运行脚本的浏览器扩展,仍然可以触发 Claude for Chrome 针对你的 Gmail、最新 Google 文档及其评论以及日历的任务。

此漏洞与 ClaudeBleed 都需要一个已经能在 claude.ai 上运行脚本的恶意扩展;区别在于影响范围。Anthropic 在五月作为对 ClaudeBleed 漏洞响应的一部分限制了任意提示路径,将外部调用者限制在一组固定任务中,但 Manifold Security 表示该漏洞在当前发布的 v1.0.80 中仍然存在,距当时已过去八个版本。

如果你运行了 Claude for Chrome,并且安装了任何其他可以触及 claude.ai 的扩展,你就处于影响范围内。在默认的"执行前询问"模式下,被伪造的任务仍会触发一个需要你点击的确认框。

如果你开启了"无需询问直接执行"——这种放手自动模式——它将完全不弹出提示地运行。最直接的防护措施是关闭"无需询问直接执行",并审查任何具有读取或修改 claude.ai 数据权限的扩展。这能恢复确认步骤,但无法消除伪造点击路径,截至 7 月 14 日尚无补丁。

The Hacker News 拆解了当前构建版本,并确认 v1.0.80 中两种机制依然存在。

在 ClaudeBleed 之后,Anthropic 不再允许页面将任意文本交给 Claude,并将外部调用者限制在扩展包内置的九个固定任务 ID 内。

其中三个是新手练习提示,三个驱动 DoorDash、Salesforce 和 Zillow,最后三个 usecase-gmail、usecase-gdocs 和 usecase-calendar 分别用于读取你的邮件、最新文档及其评论,以及日历。白名单是一项切实的改进。页面已无法再向 Claude 注入话语。

薄弱点在于触发机制。扩展中的内容脚本在 claude.ai 上监听特定元素(#claude-onboarding-button)的点击,读取其 data-task-id,如果该 ID 属于九个白名单任务之一,就向扩展发送携带该 ID 的 open_side_panel 消息。侧边栏打开时会加载匹配的提示。处理程序从未检查 event.isTrusted——这个浏览器标志用于区分真实用户点击与脚本派发的点击。

因此任何内容脚本能够触及 claude.ai DOM 的扩展,都可以构建该元素、设置任务 ID,并派发合成点击。扩展会将其视为真实点击。Manifold Security 通过粘贴到 claude.ai 控制台的六行代码演示了触发过程,日志中的 isTrusted: false 确认虚假点击已被接受。

原文配图

在浏览器控制开启状态下(新手引导完成后的默认设置),该伪造点击会将 usecase-gmail 任务加载到侧边栏中。默认模式下,实际读取前仍有一个确认框挡在前面,用户需要点击确认。Manifold Security 将该漏洞在默认模式下评为 CVSS 7.7(高危),而在用户启用"无需询问直接执行"后,同一任务静默运行,评级为 CVSS 9.6(严重)。

研究人员表示,一行代码的修复方法就是在处理程序顶部拒绝合成点击。该修复尚未发布。

第二个问题目前无法远程触发,但一旦其他漏洞暴露它,它将移除确认步骤。当 Claude 侧边栏 URL 中带有 ?skipPermissions=true 加载时,会直接进入 skip_all_permission_checks 状态并开始无需询问地执行操作。

没有手势,没有同意界面。一条警告 Claude 现在可以在线执行大多数操作的红色横幅会出现,但仅在特权会话已经运行之后才显示。该横幅只是告诉你发生了什么,而无法阻止它发生。

目前,该 URL 只能由扩展自身构建,因此没有直接的远程路径。未来某个允许低权限上下文设置该参数的漏洞,可能将伪造点击技巧转变为完全静默的账户读取。该路径可能被接受 URL 的消息处理程序、侧边栏构建的回归问题或选项页面中的 XSS 漏洞所暴露。Manifold Security 的修复建议是停止从 URL 读取权限模式,并在每次启动时都以询问模式启动侧边栏。

Manifold Security 将可行攻击映射到 OWASP LLM 应用 Top 10:因攻击者通过伪造点击触发扩展的九个白名单提示之一,归类为间接提示注入;静默执行风险则对应过度代理(excessive agency)。无论侧边栏设置为 Opus、Sonnet 还是 Fable,两种问题均可复现。漏洞存在于扩展而非模型中。

Manifold Security 于 5 月 21 日针对 v1.0.72 报告了两个问题。Anthropic 第二天确认了这两个问题,随后关闭了报告。它关闭伪造点击报告的理由是,底层信任边界问题已归入更早的 ClaudeBleed 报告中跟踪,该报告"仍未解决,等待完整修复"。

它将 URL 报告关闭归类为"提供信息",理由是该参数仅由扩展为用户已指示无需监督运行的任务设置。

然而原本旨在覆盖该修复的内部报告在 6 月 9 日前被标记为已解决,又经过八个版本发布后,漏洞代码丝毫没有变动:Manifold Security 于 7 月 7 日检查了 v1.0.80,发现内容脚本点击处理程序和侧边栏初始化代码与其最初报告的 v1.0.72 一字不差。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/claude-for-chrome-flaw-lets-other.html

作者:info@thehackernews.com (The Hacker News)