Les chercheurs en sécurité préviennent que l’extension Claude in Chrome d’Anthropic peut être utilisée de manière abusive par des extensions malveillantes qui exploitent des chemins de communication trop fiables du navigateur pour déclencher des actions non autorisées assistées par l’IA.
L’extension du navigateur Chrome d’Anthropic Claude, connue sous le nom de Claude dans Chrome, présente un bug qui peut permettre à d’autres extensions malveillantes de le détourner, compromettant ainsi les flux de travail fiables de l’IA.
Les chercheurs de LayerX Security ont averti que les flux de communication trop fiables du navigateur de Claude pourraient être abusés pour injecter des scripts susceptibles de détourner les capacités de l’assistant et de manipuler les sessions de navigation.
LayerX appelle la faille « ClaudeBleed ».
« LayerX a signalé la faille à Anthropic », a déclaré Aviad Gispan, chercheur chez LayerX, dans un article de blog. « Anthropic a répondu qu’ils étaient déjà au courant du problème et qu’il serait résolu dans la prochaine version de l’extension. » Cependant, a ajouté Gispan, le correctif d’Anthropic était partiel et la faille peut toujours être exploitée.
Le message montre différentes façons dont la faille peut encore être exploitée, notamment l’envoi d’un fichier depuis un dossier Google Drive à un tiers, l’envoi d’un e-mail au nom d’un attaquant distant, le vol de code dans un référentiel privé sur GitHub, et la synthèse des e-mails et leur envoi à un utilisateur externe.
« ClaudeBleed est une démonstration utile de la raison pour laquelle la surveillance des agents d’IA au niveau de la couche d’invite est fondamentalement insuffisante », a déclaré Axe Sharma, responsable de la recherche chez Manifold Security. « La partie la plus sophistiquée de cette attaque n’est pas l’injection, mais le fait que l’environnement perçu par l’agent a été manipulé pour produire des actions qui semblaient légitimes de l’intérieur. C’est la classe de menace contre laquelle l’industrie doit construire des défenses. »
Des instructions injectées de manière malveillante peuvent conduire à des attaques
Gispan a déclaré que le problème réside dans une instruction dans le code des extensions qui permet à des scripts arbitraires exécutés dans le navigateur d’origine de communiquer avec le LLM de Claude. Mais il n’y a rien dans le code qui vérifie qui exécute le script.
Cela permet potentiellement à n’importe quelle extension d’invoquer un script malveillant, sans nécessiter d’autorisations spéciales, pouvant émettre des commandes vers l’extension Claude.
« L’extension expose une interface de message privilégiée au LLM principal claude.ai via externally_connectable, qui est un paramètre manifeste qui définit quels sites Web ou extensions externes sont autorisés à communiquer avec votre extension », a expliqué Gispan. « Il fait confiance à l’origine (claude.ai) plutôt qu’au contexte d’exécution réel. »
En conséquence, même une extension « minimale » peut exécuter des invites arbitraires, enfreindre les garde-fous LLM de Claude, contourner les flux de confirmation des utilisateurs, manipuler la perception de Claude de l’interface utilisateur et effectuer des actions sensibles entre sites (Gmail, Google Drive, GitHub).
« Cette vulnérabilité brise effectivement le modèle de sécurité des extensions de Chrome en permettant à une extension sans autorisation d’hériter des capacités d’un assistant IA de confiance », a souligné Gispan.
Anthropic a résolu le problème, mais
Anthropic a publié une version d’extension mise à jour (version 1.0.70) le 6 mai avec un correctif et un catch.
Dans sa mise à jour, a expliqué Gispan, Anthropic a ajouté une couche de contrôles de sécurité internes pour empêcher les extensions d’exécuter des commandes à distance, mais les contrôles ne s’appliquaient qu’au mode « standard ». En basculant l’extension en mode « privilégié », qui ne nécessite pas d’autorisation ou de notification explicite de l’utilisateur, l’exposition pourrait être rétablie et les commandes peuvent être exécutées comme avant.
Anthropic aurait promis une mise à jour qui supprimerait le gestionnaire de messages responsable. « Un correctif qui supprime le gestionnaire de messages concerné a été fusionné et sera disponible dans une prochaine version d’extension », a déclaré Gispan, citant une communication de la société.
Mais le correctif n’a pas tenu sa promesse. « Contrairement à leur réponse initiale, le gestionnaire de messages externally_connectable n’a pas été supprimé, mais Anthropic a introduit des flux d’approbation supplémentaires pour les actions privilégiées », a-t-il ajouté.
LayerX a recommandé plusieurs mesures d’atténuation, notamment l’introduction de jetons d’authentification d’extension à page tels que les demandes signées, la restriction des autorisations « connectables en externe » aux ID d’extension de confiance au lieu des origines, et la liaison des approbations des utilisateurs à des actions spécifiques et des jetons uniques.
