기술 설명
LayerX Security는 Anthropic의 Chrome용 Claude 확장 프로그램의 취약점(ClaudeBleed로 명명)을 공개했으며, 특수 권한이 없는 다른 Chrome 확장 프로그램도 AI 에이전트를 탈취하고 임의의 명령을 실행할 수 있습니다. 이 결함은 실행 컨텍스트가 아닌 출처(claude.ai)를 신뢰하는 과도하게 허용적인 메시지 전달 구성에서 비롯되며, 악의적인 확장 프로그램이 프롬프트를 주입하고, 보안 조치를 우회하며, Google Drive, Gmail 및 GitHub 전반에서 사이트 간 작업을 수행할 수 있게 합니다.
공격 경로
공격자는 Main world에서 실행하도록 구성된 선언된 콘텐츠 스크립트를 포함한 최소한의 Chrome 확장 프로그램을 배포합니다. 피해자가 claude.ai를 방문하면 악의적인 확장 프로그램이 Claude의 확장 프로그램으로 메시지를 보낼 수 있으며, claude.ai 도메인에서 비롯되었기 때문에 이 메시지들이 신뢰됩니다. 공격자는 임의의 프롬프트를 실행하고, Claude의 UI 인식을 조작하며(예: 민감한 레이블 숨김), Google Drive에서 파일 유출이나 사용자 대신 이메일 전송과 같은 무단 작업을 트리거할 수 있습니다.
영향받는 시스템
1.0.70 이전의 Chrome용 Claude 확장 프로그램 버전. Anthropic은 5월 6일 버전 1.0.70에서 부분 수정을 발표했지만, LayerX 연구자들은 사용자 알림 없이 확장 프로그램을 '권한 있음' 모드로 전환하여 취약점을 계속 악용할 수 있음을 입증했습니다.
완화 방안
Anthropic은 통보를 받았으며 향후 릴리스에서 영향을 받는 메시지 핸들러를 제거하기로 약속했습니다. 사용자는 신뢰할 수 없는 Chrome 확장 프로그램 설치를 피하고 완전한 수정이 릴리스될 때까지 Chrome용 Claude 확장 프로그램을 비활성화해야 합니다. 민감한 워크플로우에 Claude를 사용하는 조직은 브라우저 확장 프로그램 정책을 감시하고 AI 에이전트 세션을 샌드박싱하는 것을 고려해야 합니다.