Pilna aktualizacja rozszerzenia Claude dla przeglądarki Chrome. Luka pozwalała na wykonywanie poleceń przez Claude’a bez wiedzy ofiary

Luka, którą firma Koi Security nazwała „ShadowPrompt”, występowała w rozszerzeniu produkowanym przez firmę Anthropic i zainstalowanym na ponad 3 milionach urządzeń. Podatność łączyła dwie oddzielne słabości, które razem pozwalały atakującemu na wydawanie poleceń asystentowi Claude w imieniu ofiary – wystarczyło, że ta odwiedziła odpowiednio spreparowaną stronę internetową.

Jak działał atak

Odkrycie opisał Oren Yomtov, badacz z Koi Security, w raporcie opublikowanym 26 marca 2026 roku. Rozszerzenie Claude dla przeglądarki Chrome umożliwia stronom internetowym wysyłanie wiadomości do asystenta za pomocą mechanizmu chrome.runtime.sendMessage(). Jeden z typów takich wiadomości – onboarding_task – przyjmował parametr z poleceniem i przekazywał je bezpośrednio do Claude w celu wykonania. Problem polegał na tym, że rozszerzenie weryfikowało wyłącznie, czy wiadomość pochodzi z domeny pasującej do wzorca *.claude.ai – czyli dowolnej subdomeny serwisu Anthropic – a nie z dokładnie określonego adresu.

Drugą słabość Yomtov odnalazł w komponencie CAPTCHA dostarczanym przez firmę Arkose Labs, hostowanym pod adresem a-cdn.claude.ai. Adres ten pasował do wspomnianego wzorca, co dawało mu takie same uprawnienia komunikacyjne jak samemu claude.ai. W starszej wersji komponentu badacz znalazł podatność typu DOM-based XSS: komponent przyjmował dane przesyłane metodą postMessage bez weryfikacji nadawcy, a następnie wyświetlał je jako surowy kod HTML z użyciem właściwości dangerouslySetInnerHTML biblioteki React, bez żadnego oczyszczenia danych wejściowych.

Zestawienie obu błędów otwierało atakującemu całą ścieżkę: złośliwa strona osadzała podatny komponent Arkose w ukrytym elemencie iframe, przesyłała do niego złośliwy kod HTML, który uruchamiał skrypt JavaScript w kontekście domeny a-cdn.claude.ai, a ten z kolei wysyłał do rozszerzenia Claude dowolne polecenie. Całość przebiegała w tle, niewidoczna dla użytkownika.

Możliwy zakres szkód

Konsekwencje udanego ataku mogły być poważne. Jak wynika z raportu Koi Security, atakujący mógł ukraść tokeny dostępu do usług Google, uzyskać dostęp do historii rozmów z asystentem AI, odczytać zawartość skrzynki Gmail oraz zasobów Google Drive ofiary, a także wysyłać e-maile podszywając się pod danego użytkownika. Atak nie wymagał żadnych kliknięć ani udzielenia zgody przez ofiarę – sama wizyta na złośliwej stronie wystarczyła.

Ujawnienie i łatanie luki

Yomtov zgłosił podatność firmie Anthropic za pośrednictwem platformy HackerOne 26 grudnia 2025 roku. Firma potwierdziła problem następnego dnia. 15 stycznia 2026 roku inżynierowie Anthropic udostępnili poprawkę do rozszerzenia (wersja 1.0.41), wprowadzając ścisłą weryfikację pochodzenia wiadomości – od tej pory akceptowane są wyłącznie te z dokładnego adresu https://claude.ai. Podatność XSS po stronie Arkose Labs została natomiast usunięta 19 lutego 2026 roku – pod podatnym adresem URL serwer zaczął zwracać błąd 403. Pełne retesty potwierdziły usunięcie obu problemów 24 lutego 2026 roku.

Użytkownicy rozszerzenia Claude dla Chrome powinni upewnić się, że zainstalowana wersja to co najmniej 1.0.41. Numer wersji można sprawdzić, przechodząc do chrome://extensions i odnajdując rozszerzenie Claude na liście.

Szerszy kontekst

Odkrycie rzuca światło na ryzyko związane z rosnącymi możliwościami asystentów AI działających bezpośrednio w przeglądarce. Jak zauważył Yomtov w swoim raporcie, im bardziej rozbudowane stają się takie narzędzia – mogące nawigować po stronach, odczytywać ich zawartość i wykonywać działania w imieniu użytkownika – tym cenniejszym celem dla atakujących się stają. Taki agent jest bowiem na tyle bezpieczny, na ile bezpieczne jest najsłabsze ogniwo w łańcuchu zaufanych źródeł.

Opisany przypadek wpisuje się w szerszą dyskusję na temat ataków typu prompt injection na modele językowe, czyli technik polegających na wprowadzaniu fałszywych poleceń do systemu AI w taki sposób, by wykonał on działania niezamierzone przez użytkownika.

Źródła

Zdjęcie tytułowe zostało wykonane przez autora na podstawie zrzutu ekranu z aplikacji Claude. Treść artykułu powstała na podstawie następujących źródeł tekstowych i/lub audiowizualnych:

• ShadowPrompt: How Any Website Could Have Hijacked Claude’s Chrome Extension, opublikowany w serwisie koi.ai przez Orena Yomtova, 26.03.2026
• Claude Extension Flaw Enabled Zero-Click XSS Prompt Injection via Any Website, opublikowany w serwisie thehackernews.com przez Ravie Lakshmanana, 26.03.2026