Les failles peuvent permettre à des extensions malveillantes d’effectuer des actions d’IA privilégiées, notamment l’accès à Gmail, Docs, etc.
Deux vulnérabilités découvertes dans l’extension Claude pour Chrome d’Anthropic restent exploitables des mois après avoir été signalées à l’entreprise, selon une étude menée par Manifold Security.
Selon les chercheurs, les failles peuvent permettre à une extension de navigateur malveillante d’inciter Claude à effectuer des actions privilégiées, notamment la lecture de messages Gmail, de contenu Google Docs et d’entrées de calendrier au nom d’un utilisateur.
Dans un nouveau billet de blog, les chercheurs ont déclaré que les problèmes étaient reproductibles dans la version 1.0.80 de Claude pour Chrome, publiée le 7 juillet, et restaient non résolus huit versions après leur premier signalement en mai.
« Anthropic a livré la version 1.0.73 à la version 1.0.80 dans les semaines qui ont suivi notre rapport », ont ajouté les chercheurs. « Le problème de suivi interne couvrant cette classe de vulnérabilité a été marqué comme » résolu « dans les semaines qui ont suivi notre rapport. »
Cependant, le script de contenu et les gestionnaires du panneau latéral de la dernière version restent « identiques en octets » à la version 1.0.72 testée à l’origine par les chercheurs. Les chercheurs ont établi des parallèles avec la divulgation précédente de ClaudeBleed, dans laquelle le problème s’était révélé exploitable malgré l’annonce d’un correctif par Anthropic.
Les clics synthétiques trompent l’IA de confiance
La première vulnérabilité provient de la façon dont Claude pour Chrome gère l’interaction de l’utilisateur avant d’exécuter des actions privilégiées. Selon Manifold, le gestionnaire de clics de l’extension ne vérifie pas si un clic d’approbation provient d’un utilisateur réel via la propriété « event.isTrusted » du navigateur.
Cela signifie qu’une autre extension de navigateur capable d’injecter des scripts dans Claude.ai peut générer des clics synthétiques que Claude accepte comme légitimes.
Dans les configurations par défaut, l’attaque peut déclencher automatiquement l’une des tâches de navigateur prédéfinies de Claude avant de présenter une boîte de dialogue d’approbation. Cependant, si les utilisateurs ont activé le mode « Agir sans demander » de l’extension, Claude peut exécuter ces actions en silence, permettant à un attaquant de récupérer le contenu de Gmail, les données de Google Docs ou les informations de calendrier, a noté le chercheur.
Plutôt que d’exploiter une faille dans Chrome lui-même, l’attaque abuse de la confiance placée en Claude en tant qu’agent de navigateur autorisé. Manifold a démontré un exploit dans six lignes de JavaScript.
Les chercheurs ont déclaré que la faille peut simplement être corrigée avec une ligne supplémentaire, « if (!n.isTrusted) return ; » en haut du gestionnaire de clics.
Un mode privilège problématique
La deuxième découverte se concentre sur la manière dont le panneau latéral de Claude initialise son modèle d’autorisation.
Manifold a découvert que le chargement du panneau avec le paramètre « ?skipPermissions=true » faisait entrer l’extension dans un mode privilégié destiné à contourner les invites de confirmation répétées. Bien que les chercheurs n’aient pas identifié aujourd’hui de chemin externe direct pour contrôler ce paramètre, ils ont fait valoir que la conception crée un risque de sécurité latent car le comportement privilégié dépend d’une valeur d’URL plutôt que d’entrées contrôlées par l’utilisateur.
Toute future vulnérabilité capable d’influencer ce paramètre pourrait hériter de privilèges élevés sans nécessiter de contrôles de sécurité supplémentaires, ont noté les chercheurs.
Pour répondre à ces deux conclusions, Manifold recommande de valider les interactions utilisateur authentiques avant d’exécuter des actions privilégiées, d’éviter les transitions de privilèges basées sur les URL et de renforcer l’authentification des flux de travail d’extension internes.



