Claude Chrome 擴充功能的 1.0.41 以下版本有高風險漏洞,須及時升級
深潮 TechFlow 訊息,3 月 27 日,根據 GoPlus 引用 Koi 報告,Anthropic 旗下 Claude Chrome 擴充功能存在一個高風險提示字注入漏洞,所有低於 1.0.41 版本的擴充功能均受影響。
攻擊者可透過建構惡意網頁,在後台靜默載入含跨站腳本(XSS)漏洞的 iframe,並在 a-cdn.claude.ai 子網域內執行惡意載重。 由於該子網域處於擴充功能的信任白名單內,攻擊者可直接向 Claude 擴充下發惡意提示字詞並自動執行,整個過程無需使用者授權或任何點擊操作,受害者無感知。
此漏洞可導致攻擊者操控 Claude 擴充功能讀取使用者 Google Drive 文件、竊取業務存取權杖或匯出聊天記錄,並可藉此接手目前瀏覽器會話,以受害者身分執行傳送郵件等敏感操作。
GoPlus 建議使用者立即將 Claude 擴充更新至 1.0.41 或以上版本,同時警惕釣魚連結。
