I ricercatori di Manifold hanno individuato una grave vulnerabilità in Claude per Chrome, l’assistente di Anthropic che esegue azioni per conto nell’utente all’interno del browser di Google. Il bug, denominato ClaudeBleed, era presente nella versione 1.0.72 e non è stato completamente risolto nella versione 1.0.80 del 7 luglio (sul Chrome Web Store è disponibile la versione 1.0.81 del 16 luglio).
Altre estensioni possono sfruttare Claude per Chrome
Claude per Chrome può accedere ai servizi di Google, tra cui Gmail e Drive, con il permesso dell’utente. I ricercatori di Manifold hanno scoperto che altre estensioni possono sfruttare l’assistente per eseguire azioni simulando i click dell’utente e quindi accedere ai servizi collegati.
Claude per Chrome “ascolta” i click ed esegue l’azione correlata se è inclusa tra quelle supportate, come accesso a Gmail per disattivare l’iscrizione alle email promozionali, accesso a Google Documenti per leggere i commenti e accesso a Google Calendar per aggiungere un evento.
Anthropic ha limitato le azioni consentite, ma dopo 8 aggiornamenti non ha ancora risolto completamente la vulnerabilità. In pratica, Claude per Chrome non verifica se i click arrivano da utenti reali o da altre estensioni. Nel primo caso, la proprietà event.isTrusted viene impostata a true. Se invece il click è generato tramite codice JavaScript viene impostata a false.
Claude for Chrome non controlla la proprietà event.isTrusted prima di eseguire una delle azioni supportate. Un’estensione con i permessi di modifica delle pagine con dominio claude.ai può iniettare codice JavaScript per simulare le suddette azioni.
Se l’utente ha attivato l’impostazione “Esegui senza chiedere“, l’assistente esegue automaticamente le azioni e consegna in pratica i dati personali ad eventuali estensioni infette. Non è noto se il bug è stato risolto con la versione 1.0.81. Il consiglio è non collegare i servizi di Google e disattivare l’esecuzione automatica.