Claude浏览器扩展漏洞允许通过任意网站实现零点击XSS提示注入

网络安全研究人员披露了Anthropic公司Claude谷歌浏览器扩展中存在的一个漏洞,攻击者只需诱使用户访问特定网页即可触发恶意提示注入。

漏洞原理分析

Koi Security研究员Oren Yomtov在提供给The Hacker News的报告中指出:"该漏洞允许任何网站静默地向该AI助手注入提示,就像用户自己输入的一样。无需点击,无需权限提示。只需访问页面,攻击者就能完全控制你的浏览器。"

该漏洞由两个底层缺陷串联形成:

  • 扩展程序中存在过于宽松的源白名单机制,允许任何匹配模式(*.claude.ai)的子域向Claude发送执行提示
  • 托管在"a-cdn.claude.ai"上的Arkose Labs验证码组件存在基于文档对象模型(DOM)的跨站脚本(XSS)漏洞

攻击实现方式

具体而言,XSS漏洞允许在"a-cdn.claude.ai"上下文中执行任意JavaScript代码。攻击者可利用此行为注入JavaScript,向Claude扩展发送提示。而扩展程序仅因请求来自白名单域,就会将提示视为合法用户请求显示在Claude侧边栏中。

Yomtov解释道:"攻击者的页面在隐藏的中嵌入存在漏洞的Arkose组件,通过postMessage发送XSS有效载荷,注入的脚本就会向扩展程序触发提示。受害者完全不会察觉。"

潜在危害

成功利用此漏洞可使攻击者:

  • 窃取敏感数据(如访问令牌)
  • 获取与AI Agent的对话历史记录
  • 以受害者身份执行操作(如冒充发送邮件、索取机密数据)

修复进展

在2025年12月27日收到负责任的漏洞披露后,Anthropic为Chrome扩展部署了补丁,强制实施严格的源检查,要求精确匹配"claude.ai"域。Arkose Labs也于2026年2月19日修复了其端的XSS漏洞。

Koi Security强调:"AI浏览器助手功能越强大,作为攻击目标的价值就越高。一个能够导航浏览器、读取凭证并代表用户发送邮件的扩展程序,本质上就是一个自主Agent。而该Agent的安全性仅取决于其信任边界中最薄弱的环节。"

相关推荐
kyriewen17 分钟前
我用 AI 写代码快了 3 倍——然后同事的 Code Review 全变成了我的
前端·程序员·ai编程
GoFly开发者36 分钟前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
happyprince1 小时前
07_NVIDIA_ModelOpt-Recipe配方系统
网络·modelopt
李明卫杭州1 小时前
Vue2 portal-target 组件与 Vue3 的针对性优化
前端·javascript·vue.js
韦胖漫谈IT2 小时前
Apple M3 Max 与 Apple M5 Max 对比:本地算力的新旧王者之争
网络·人工智能·macos·transformer
Tyler_12 小时前
iOS PlayWright mcp server
前端·ios·ai编程
嘟嘟07172 小时前
从零理解 MCP:手写一个本地 MCP Server 并接入 LangChain Agent
前端·后端
cocoafei2 小时前
GPT-5.6 后,别再混淆 ChatGPT 和 Codex 额度了
前端·人工智能·chatgpt
你怎么知道我是队长2 小时前
JavaScript的函数介绍
开发语言·前端·javascript
weedsfly3 小时前
观察者模式 vs 发布-订阅模式:从概念到实战,一次讲清楚
前端·javascript·面试