技術的な説明
LayerX Securityは、AnthropicのChrome拡張機能「Claude in Chrome」の脆弱性(ClaudeBleedと呼ばれる)を公開しました。この脆弱性により、特別な権限を持たない拡張機能を含む他のChrome拡張機能が、AIエージェントをハイジャックし任意のコマンドを発行することが可能になります。この欠陥は、実行コンテキストではなくオリジン(claude.ai)を信頼する過度に寛容なメッセージ受け渡し設定に起因しており、悪意のある拡張機能がプロンプトを注入し、ガードレールを回避し、Google Drive、Gmail、GitHubにまたがるクロスサイトアクションを実行することを可能にします。
攻撃経路
攻撃者は、Mainワールドで実行するように設定されたコンテンツスクリプトが宣言された最小限のChrome拡張機能を配布します。被害者がclaude.aiにアクセスすると、悪意のある拡張機能はClaudeの拡張機能にメッセージを送信できます。これらはclaude.aiドメインから発信されるため信頼されます。攻撃者はその後、任意のプロンプトを実行し、Claudeを欺いて機密ラベルを隠すなどのUI認識を操作し、Google Driveからファイルを流出させたり、ユーザーに代わってメールを送信するなどの許可されていないアクションをトリガーすることができます。
影響を受けるシステム
Claude in Chrome拡張機能バージョン1.0.70より前のバージョンが影響を受けます。Anthropicは5月6日にバージョン1.0.70で部分的な修正をリリースしましたが、LayerXの研究者は拡張機能をユーザー通知なしに「特権」モードに切り替えることで脆弱性がまだ悪用される可能性があることを実証しました。
緩和策
Anthropicは通知を受け、今後のリリースで影響を受けたメッセージハンドラーを削除することを約束しました。ユーザーは信頼できないChrome拡張機能のインストールを避け、完全な修正がリリースされるまでClaude in Chrome拡張機能を無効化する必要があります。機密ワークフローにClaudeを使用する組織は、ブラウザー拡張機能ポリシーを監査し、AIエージェントセッションのサンドボックス化を検討する必要があります。