Firma zajmująca się bezpieczeństwem sztucznej inteligencji, Manifold, ostrzega przed poważnymi lukami w rozszerzeniu Claude for Chrome. Mimo wydania ośmiu aktualizacji od czasu wykrycia problemu, narzędzie wciąż pozostaje podatne na ataki, które mogą pozwolić złośliwym rozszerzeniom przeglądarkowym na dostęp do prywatnych danych użytkownika, w tym wiadomości Gmail, dokumentów Google Docs oraz wpisów w kalendarzu.
Problem z weryfikacją działań użytkownika
Pierwotnym punktem zapalnym była podatność znana jako ClaudeBleed. W odpowiedzi na nią, firma Anthropic wprowadziła mechanizm ograniczający listę zadań, które mogą być wyzwalane przez zewnętrzne strony internetowe. Jednak według badaczy z Manifold, obecna implementacja tego rozwiązania jest niewystarczająca. Główny problem polega na tym, że system nie weryfikuje, czy polecenie wykonania zadania faktycznie pochodzi od użytkownika, czy zostało zainicjowane przez inne, złośliwe rozszerzenie.
W standardowej konfiguracji rozszerzenie Claude wymaga potwierdzenia przez użytkownika przed wykonaniem jakiejkolwiek wrażliwej operacji. Sytuacja zmienia się jednak w przypadku korzystania z trybu autonomicznego, oznaczonego jako „Act without asking” (działaj bez pytania). Jeśli użytkownik aktywował tę funkcję, złośliwe oprogramowanie może wymusić na Claude wykonanie działań bez wyświetlania żadnego ostrzeżenia.
Ryzyko ukryte w parametrach URL
Badacze zidentyfikowali również drugą lukę projektową, która pozwala na uruchomienie panelu bocznego Claude bezpośrednio w trybie pełnej autonomii. Jest to możliwe dzięki manipulacji parametrami w adresie URL rozszerzenia. Choć w normalnych warunkach to samo rozszerzenie odpowiada za konstruowanie tego adresu, eksperci ostrzegają, że jest to istotne ryzyko strukturalne. W przypadku wystąpienia błędu, który pozwoliłby zewnętrznemu skryptowi na wpływ na budowę tego adresu, atakujący mógłby przejąć kontrolę nad kontami użytkownika w sposób całkowicie niezauważalny.
Brak skutecznej naprawy
Firma Manifold zgłosiła swoje odkrycia do Anthropic 21 maja 2026 roku, krótko po publicznym ujawnieniu szczegółów dotyczących ClaudeBleed. Producent AI początkowo traktował listę preautoryzowanych zadań jako tymczasowe zabezpieczenie, mające chronić użytkowników do czasu wdrożenia pełnej poprawki. Mimo to, żadna z ośmiu wersji wydanych od tamtego czasu, w tym najnowsza oznaczona numerem 1.0.80, nie wyeliminowała opisanych luk.
Obecnie sytuacja pozostaje nierozwiązana, a użytkownicy korzystający z rozszerzenia Claude for Chrome powinni zachować szczególną ostrożność, zwłaszcza w odniesieniu do uprawnień przyznawanych innym dodatkom w przeglądarce.

