Các phiên bản của tiện mở rộng Claude dành cho Chrome dưới 1.41 chứa lỗ hổng tấn công chèn từ khóa có rủi ro cao và cần nâng cấp ngay lập tức.

Theo báo cáo của Koi được GoPlus trích dẫn, tiện mở rộng Claude của Anthropic dành cho Chrome chứa một lỗ hổng tấn công chèn tin nhắn có rủi ro cao, ảnh hưởng đến tất cả mở rộng mở rộng dưới phiên bản 1.41. Kẻ tấn công có thể tạo ra các trang web độc hại để âm thầm tải iframe chứa lỗ hổng kịch bản chéo trang (XSS) trong nền và thực thi các payload độc hại trong tên miền phụ a-cdn.claude.ai. Vì tên miền phụ này nằm trong danh sách trắng đáng tin cậy của mở rộng, kẻ tấn công có thể trực tiếp gửi tin nhắn độc hại đến mở rộng Claude và thực thi chúng tự động, mà không cần sự cho phép của người dùng hoặc bất kỳ nhấn, khiến nạn nhân không hề hay biết. Lỗ hổng này có thể cho phép kẻ tấn công thao túng mở rộng ích mở rộng Claude để đọc tài liệu Google Drive của người dùng, đánh cắp mã thông báo truy cập việc kinh doanh hoặc xuất nhật ký trò chuyện. Nó cũng có thể cho phép kẻ tấn công chiếm quyền kiểm soát phiên trình duyệt hiện tại và thực hiện các thao tác nhạy cảm như gửi email dưới tên của nạn nhân. GoPlus khuyến cáo người dùng nên cập nhật ngay lập tức mở rộng Claude của họ lên phiên bản 1.41 trở lên và cảnh giác với các liên kết Phishing.