北京
分享至
你的浏览器扩展正在偷看AI对话——这不是假设,是已经发生的漏洞。
安全研究人员发现Anthropic公司Claude浏览器扩展存在一个名为"ClaudeBleed"的严重缺陷。任何Chrome扩展都能向Claude AI代理注入任意指令,无需用户许可即可操控AI行为。
问题出在两个环节:权限检查过于宽松,信任验证机制存在缺陷。攻击者利用DOM操作和重复伪造消息,就能绕过用户确认保护。一旦得手,第三方扩展可完全接管代理功能,窃取信息或执行未授权操作。
这直接击穿了Chrome的扩展安全模型。Claude的代理能力本应帮用户自动完成任务,现在却成了恶意扩展的入口。用户以为自己在和AI私密对话,实际上后台可能另有"听众"在发号施令。
技术细节显示,漏洞利用不需要复杂攻击链。普通扩展借助标准浏览器API即可触发,攻击门槛极低。对于依赖Claude处理敏感工作的用户而言,这意味着当前版本存在实质性风险。
该发现已公开披露,完整技术分析见Grid the Grey安全博客。Anthropic尚未发布官方修复声明,建议用户暂时关闭扩展的自动执行权限,或限制高敏感度任务的使用场景。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
