Jeśli używasz rozszerzenia Claude in Chrome — sprawdź czy masz wersję 1.0.70 lub nowszą. Wyłącz tryb "Act without asking" jeśli go włączyłeś. Robiąc to: pamiętaj że na razie jest to łagodzenie objawów, nie naprawa problemu.
LayerX opublikował analizę pod nazwą ClaudeBleed 7 maja. Sedno jest w jednym zdaniu z ich raportu: rozszerzenie Claude weryfikuje skąd przychodzi wiadomość — nie kto ją wysyła.
Claude in Chrome nasłuchuje na wiadomości ze skryptu działającego w kontekście claude.ai. Jeśli skrypt jest na claude.ai — Claude mu ufa. Tyle. Nie sprawdza który skrypt, czyj, z jakiego rozszerzenia. Każde rozszerzenie Chrome może wstrzyknąć content script działający w "Main world" na dowolnej stronie — w tym na claude.ai — i ten skrypt będzie nieodróżnialny od kodu Anthropic.
Zero deklarowanych uprawnień. Zero kliknięć użytkownika. Zero widocznych alertów. Złośliwe rozszerzenie może wydawać Claude'owi polecenia jak właściciel konta.
W demonstracji LayerX: rozszerzenie z zerową listą uprawnień otwiera Google Drive, wyszukuje plik o nazwie "Top Secret", udostępnia go zewnętrznemu adresowi, a następnie usuwa email z potwierdzeniem ze skrzynki. Claude wykonuje każdy krok. Model następnie zaciera ślady bo atakujący tak kazał. W dziennikach Google po stronie Drive: legalny użytkownik, legalna sesja, legalna operacja.
Nidetektowalność jest wbudowana w mechanizm. Claude operuje przez tekst, interfejs użytkownika i zrzuty ekranu — wszystkie elementy które atakujący może kontrolować. LayerX pokazał też że UI można zmodyfikować żeby usunąć etykiety przy wrażliwych operacjach, ominąć polityki oparte na rozpoznawaniu wizualnym. Nie ma nic co standardowe narzędzia ochrony mogłyby oznaczyć jako podejrzane bo nie dzieje się nic podejrzanego technicznie. Claude robi co mu kazano. Robi to legalnie.
Łatka obejdź w trzy godziny
LayerX zgłosił problem 27 kwietnia. Anthropic odpowiedział dzień później że to duplikat innego zgłoszenia i fix trafi w kolejnej wersji. 6 maja wyszła wersja 1.0.70 z nowymi przepływami zatwierdzania dla uprzywilejowanych akcji.
LayerX ominął ją w trzy godziny.
Anthropic dodał warstwę UI — okna dialogowe wymagające zatwierdzenia przed uprzywilejowanymi operacjami. Problem w tym że nie usunął externally_connectable message handlera który jest pierwotną przyczyną. Poprawka chroni przed exploitem gdy Claude działa w trybie "Ask before acting". W trybie "Act without asking" — zaprojektowanym dla nieprzerwanej automatyzacji — nowe sprawdzenia są całkowicie wyłączone.
Atakujący może przełączyć Claude w ten tryb programowo. Bez powiadomienia użytkownika.
Jest też drugi wektor pominięty przez łatkę: inicjalizacja side panel otwiera osobny kontekst wykonania który zachowuje się jak tryb uprzywilejowany niezależnie od ustawień. Łatka naprawiła jeden z możliwych punktów wejścia — nie zamknęła bramy.
Skąd to wynika
Aviad Gispan z LayerX opisuje problem krótko: "This vulnerability effectively breaks Chrome's extension security model by allowing a zero-permission extension to inherit the capabilities of a trusted AI assistant."
Chrome ma szczegółowy model uprawnień dla rozszerzeń — deklarujesz co robisz, użytkownik zatwierdza. Rozszerzenie które chce czytać Gmail musi powiedzieć o tym przy instalacji. Mechanizm istnieje właśnie po to żeby użytkownik wiedział na co się zgadza.
ClaudeBleed obchodzi ten model bez łamania go. Nie ma exploita. Rozszerzenie nie kradnie uprawnień Claude'a — ono po prostu z nim rozmawia. A Claude odpowiada bo tak go zaprojektowano: żeby był dostępny dla skryptów działających w jego kontekście.
Claude in Chrome to wciąż beta. Gispan w raporcie nie zostawia wiele złudzeń co do przyczyny: "W wyścigu o produktywność, automatyzację i bycie pierwszym wśród vendorów AI, rozszerzają granicę zaufania zbyt daleko i zaniedbują podstawowe rozważania bezpieczeństwa."
Jedyna właściwa naprawa wymagałaby zmiany w warstwie którą Anthropic jak dotąd nie zmienił: weryfikacji kto wysyła wiadomość zamiast skąd przychodzi. Podpisane tokeny, lista dozwolonych ID rozszerzeń, jednorazowe zatwierdzenia nieodtwarzalne przez atakującego. Wersja 1.0.70 nie zawiera żadnego z tych elementów.
Do czasu właściwej naprawy Claude in Chrome z włączonym trybem autonomicznym jest rozszerzeniem przeglądarki które może przejąć każde inne zainstalowane rozszerzenie — przez intermedium w postaci asystenta AI który bardzo chce być pomocny.
Źródła
LayerX — pełna analiza techniczna ClaudeBleed z demem wideo: https://layerxsecurity.com/blog/a-flaw-in-claudes-browser-extension-allows-any-extension-to-hijack-it/
SecurityWeek — omówienie z cytatami z raportu: https://www.securityweek.com/vulnerability-in-claude-extension-for-chrome-exposes-ai-agent-to-takeover/
CyberScoop — szczegóły obejścia łatki i komentarz badacza: https://cyberscoop.com/claude-chrome-extension-allows-plugins-to-hijack-ai/
Cybernews — timeline od zgłoszenia do obejścia poprawki w 3 godziny: https://cybernews.com/security/claude-code-chrome-extension-flaw-fix-hacked/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł