Breșă în Claude pentru Chrome permite extensiilor rău intenționate accesul la Gmail

0
1
bresa-in-claude-pentru-chrome:-extensiile-rau-intentionate-pot-declansa-accesul-la-gmail
Breșă în Claude pentru Chrome: extensiile rău intenționate pot declanșa accesul la Gmail

Un bug în extensia Claude pentru Chrome riscă să permită acțiuni automate și acces neautorizat la conturile utilizatorilor. Problema derivă din modul în care extensia gestionează bookmarks-urile și comenzi automate, ceea ce poate duce la acțiuni reale pe paginile web, fără confirmarea utilizatorului.

Problema extensiei Claude în browserul Chrome

Extensia Claude, folosită pentru interacțiuni cu inteligența artificială direct în browser, poate citi pagini, apăsa butoane și completa formulare. Aceasta funcționează ca un agent AI integrat în Chrome, ceea ce duce la un nivel sporit de permisiuni și interacțiuni automate. Descoperirea recentă relevă că extensia monitorizează apăsarea unui anumit buton de pe claude.ai, care conține un identificator specific pentru sarcini definite anterior.

Partea vulnerabilă constă în faptul că extensia nu verifică dacă apăsarea butonului provine de la un utilizator sau este generată artificial prin scripturi, ceea ce permite efectuarea unor acțiuni automate necunoscute utilizatorului. Printre cele nouă acțiuni speciale, trei sunt considerate sensibile: accesul la Gmail, deschiderea celui mai recent document Google și vizualizarea comentariilor sau accesul la evenimentele din Calendar.

Riscurile asociate cu modul automat de acțiune

Extensia poate fi configurată să execute sarcini fără solicitare de confirmare, dacă este activat modul „Act without asking”. În această setare, chiar dacă inițial este afișată o fereastră de aprobare, aceasta poate fi omisă, permițând agentului AI să proceseze informațiile fără intervenție umană.

Evaluarea de securitate a firmei Manifold Security a indicat un risc de 7,7 din 10 în modul standard. În cazul activării modului automat, scorul crește la 9,6, ceea ce evidențiează un nivel înalt de vulnerabilitate. Riscul nu diferă între diferite modele AI, fiind reprodus și cu alte versiuni precum Opus, Sonnet și Fable.

Alte probleme asociate extensiei au fost semnalate în contextul interacțiunii acesteia cu browserul. Extensia are acces la pagini deja autentificate de utilizator, iar o comandă greșită sau executată în mod automat poate avea efecte concrete asupra datelor.

Există o vulnerabilitate separată în modul privilegiat

O altă slăbiciune a fost identificată în modul privilegiat al panoului lateral Claude. În cazul în care adresa URL conține parametrul skipPermissions=true, extensia pornește sesiunea fără verificare explicită din partea utilizatorului. În această situație, se afișează un avertisment roșu, care informează asupra posibilelor acțiuni asupra datelor online, dar acesta apare doar după activarea permisiunilor.

Momentan, posibilitatea de a construi o astfel de adresă URL provine doar din interiorul extensiei, iar site-urile obișnuite nu pot genera direct această configurație. Cercetătorii avertizează însă că dacă o vulnerabilitate similară va fi exploatată, mecanismul ar putea fi compromis în viitor.

Google a anunțat intenția de a restricționa extensiile Chrome care manipulează asistenții AI, pentru a limita astfel de riscuri. Noile reguli vizează limitarea accesului neautorizat, însă nu elimină automat toate vulnerabilitățile existente în extensiile legitime.

Precauții recomandate pentru utilizatori

Utilizatorii de Claude pentru Chrome sunt sfătuiți să dezactiveze modul „Act without asking” pentru a preveni acțiuni automate fără intervenție explicită. Aceasta asigură că orice acces la Gmail, documente și evenimente să fie aprobat manual.

Este recomandat, de asemenea, să verifice permisiunile acordate extensiilor și să elimine pe cele care nu sunt necesare. Deși o extensie provine din magazinul oficial, aceasta nu garantează automat siguranța ei, mai ales dacă are permisiuni extinse sau active activate pentru automatizare.

Aceste măsuri simple pot reduce semnificativ riscul de expunere la atacuri, până când apar soluții de garantare a securității pe deplin.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.