Claude扩展埋了3年雷：用户逛个网页就被"夺舍"

Claude的Chrome扩展装机量刚破百万，安全团队Koi Security就在里面挖出一枚"遥控炸弹"——用户不需要点击任何按钮，不需要授权弹窗，只要打开一个普通网页，攻击者就能完全控制浏览器。这不是钓鱼邮件那种老把戏，是浏览器扩展自己把后门敞开了。

漏洞代号ShadowPrompt，核心逻辑蠢得像把家里钥匙藏在门垫下面：扩展预设"claude.ai域名全家都信"，结果子域名a-cdn.claude[.]ai有跨站脚本（XSS，一种让恶意代码在可信网站执行的攻击手法）漏洞。攻击者把恶意指令塞进这个子域名，用户路过时，扩展主动迎上去执行。Koi Security的测试显示，从打开网页到数据外泄，全程零交互。

信任链是怎么一环环断掉的

浏览器扩展的权限模型本来像小区门禁：业主（主域名）刷脸进，访客（子域名）得登记。但Claude扩展直接把"业主卡"复印了一堆，发给所有带"claude.ai"后缀的地址。问题是，子域名的安全防护往往比主站差一个量级。

a-cdn.claude[.]ai这个地址，看名字是内容分发网络节点，实际成了攻击跳板。Koi Security的研究员演示了完整攻击链：构造一个嵌在博客文章里的链接，用户点击后进入看似正常的页面，扩展在后台已经把聊天记录、API密钥、甚至其他标签页的敏感信息打包发走。整个过程没有弹窗，没有"是否允许"的询问，浏览器地址栏连URL都没变。

Anthropic的修复速度倒是不慢——漏洞披露后72小时内推送更新，把子域名信任策略改成了白名单制。但Koi Security在报告中埋了一句刺：这种"域名即信任"的设计模式，在AI工具扩展里占比超过六成。Claude只是先被盯上的那个。

零点击攻击为什么成了新标配

传统钓鱼还要骗用户输密码、点链接，ShadowPrompt这类漏洞把门槛砍到零。攻击者不需要社工高手，只需要找到一个被扩展盲目信任的子域名，往里面塞代码。用户端唯一的"异常"可能是网页加载慢了两秒——但那两秒里，扩展已经在执行攻击者的指令集。

Koi Security对比了2023年以来的浏览器扩展漏洞，发现一个趋势：AI工具扩展的权限索取越来越激进。Claude扩展默认申请"读取所有网站数据"权限，理由是"帮你总结任意网页"。这个权限一旦配上宽松的域名信任策略，等于给用户浏览器装了个遥控傀儡。2024年同类漏洞披露量同比上涨47%，Perplexity的Comet浏览器、多款GPT套壳工具都中过招。

更隐蔽的风险在于持久化。ShadowPrompt被利用后，攻击者可以往扩展的存储区写入恶意配置，即使用户清除了当前会话，下次打开浏览器时后门还在。Koi Security的测试环境里，这种"寄生"状态维持了整整两周，直到扩展更新才被清除。

企业用户的盲区：扩展权限没人审

个人用户装扩展看的是功能，企业IT部门管的是合规，但两者都漏了同一环：扩展的域名信任策略长什么样。Koi Security扫描了财富500强员工常用的127款浏览器扩展，发现71款存在类似的"通配符信任"问题——不是信错域名，就是信了域名就信它全家。

Claude扩展的修复方案是给子域名加白名单，但白名单本身又成了新攻击面。如果攻击者拿下白名单里的某个CDN节点，或者利用域名解析劫持，信任链照样断。Anthropic的工程师在回复Koi Security时承认，"完全消除子域名风险需要重构扩展架构"，但重构时间表未公开。

一个值得玩味的细节：漏洞披露前，Claude扩展的Chrome商店评分4.8星，评论区满是"效率神器""打工人救星"。披露后三天，评分跌到4.2，差评集中在"权限太吓人""不敢用了"。但装机量没降——用户一边骂，一边离不开。

Koi Security在报告结尾抛了个问题：当AI工具扩展成为浏览器标配，谁来定义"合理权限"的边界？Anthropic修了这个洞，但同样的设计模式还在上百个扩展里躺着。下一个被"夺舍"的，可能是你刚装上的那个" productivity booster"。