«Проверено, мин нет»
Расширение для браузера Google Chrome от разработчиков генеративного ИИ Claude, компании Anthropic, содержало уязвимость, которая позволяла перехватывать контроль над браузером без какого-либо участия пользователя.
Проблема получила название ShadowPrompt. Её основу составляют два элемента. Первый - это избыточный белый список самого расширения: промпты принимаются с любого субдомена, содержащего комбинацию *.claude.ai. Второй - это уже программная XSS-уязвимость (уязвимость межсайтового скриптинга) в компоненте CAPTCHA Arkose Labs, которая располагается в домене a-cdn.claude.ai.
XSS-уязвимость допускает запуск произвольного кода JavaScript в контексте a-cdn.claude.ai. Это позволяет потенциальному хакеру внедрить на поддельной странице JavaScript-код, который будет задавать запрос расширению Claude в Chrome.
В результате расширение примет этот запрос (промпт), как будто он исходил от пользователя.
«В страницу злоумышленника [при условии, что в её наименовании фигурирует *.claude.ai] встраивается уязвимый компонент Arkose, который посылает XSS-нагрузку через команду postMessage, и встроенный скрипт "выстреливает" промптом к расширению [Claude]. Жертва не видит ничего», - пишет исследователь кибербезопасности компании Koi Security Орен Йомтов (Oren Yomtov).
Успешная эксплуатация позволит злоумышленнику выкрасть значимые данные (такие, как токены доступа), получить доступ к диалогам жертвы с ИИ-агентом и даже осуществлять действия от имени жертвы - например, отправлять почтовые сообщения, в том числе фишинговые.
«Чем более функциональным становятся браузерные ИИ-ассистенты, тем более ценными объектами для атак они становятся», - говорится в публикации Koi. - «Расширеине может осуществлять за вас навигацию, считывать ваши учётные данные и отправлять почтоые сообщения автономно. При этом киберзащищённость этого агента - определяется самым слабым узлом в его зоне доверия».
Без слепого доверия
Anthropic получили сведения о проблеме в конце декабря 2025 года, и к настоящему времени же обновили расширение до версии 1.0.41, где реализована более строгая проверка доменного источника промптов. Компания Arkose Labs, в свою очередь, также устранила XSS-уязвимость в своей разработке.
«Всё это, однако, не означает, что в зоне доверия Claude нет других уязвимых узлов, причём таких, исправление которых сделает ИИ-расширение малополезным, - считает Александр Зонов, эксперт по информационной безопасности компании SEQ. - В целом, единственный безопасный способ использования подобных разработок - это минимизация их автономии, поскольку всегда найдутся желающие ею злоупотребить».
Эксперт добавил, что слепого доверия ИИ не заслуживают, о чём большинство вендоров предупреждают открыто, даже если и мелким шрифтом.
Поделиться
