Theo ChainCatcher, GoPlus trích dẫn báo cáo của Koi, mở rộng Claude của Anthropic dành cho Chrome có lỗ hổng bảo mật nghiêm trọng liên quan đến việc chèn từ khóa nhắc nhở, ảnh hưởng đến tất cả mở rộng có phiên bản dưới 1.41.
Kẻ tấn công có thể tạo ra các trang web độc hại để âm thầm tải các iframe chứa lỗ hổng kịch bản chéo trang (XSS) trong nền và thực thi các payload độc hại trong tên miền phụ a-cdn.claude.ai. Vì tên miền phụ này nằm trong danh sách trắng đáng tin cậy của mở rộng mở rộng Claude, kẻ tấn công có thể trực tiếp gửi các yêu cầu độc hại đến tiện mở rộng Claude và thực thi chúng tự động, mà không cần sự cho phép của người dùng hoặc bất kỳ nhấn, khiến nạn nhân không hề hay biết. Lỗ hổng này có thể cho phép kẻ tấn công thao túng mở rộng ích mở rộng Claude để đọc tài liệu Google Drive của người dùng, đánh cắp mã thông báo truy cập việc kinh doanh hoặc xuất nhật ký trò chuyện. Nó cũng có thể cho phép kẻ tấn công chiếm quyền kiểm soát phiên trình duyệt hiện tại và thực hiện các thao tác nhạy cảm như gửi email dưới tên của nạn nhân. GoPlus khuyến cáo người dùng nên cập nhật ngay lập tức mở rộng Claude lên phiên bản 1.41 trở lên và cảnh giác với các liên kết Phishing.
