Claude Chrome拡張の1.41以下のバージョンには、高リスクの提示語注入脆弱性が存在するため、早急にアップグレードする必要があります。

GoPlusがKoiの報告を引用したところによると、AnthropicのClaude Chrome拡張機能には高危険な提示語注入の脆弱性が存在し、バージョン1.41未満のすべての拡張機能が影響を受けるとのことです。

攻撃者は悪意のあるウェブページを構築することで、バックグラウンドで静かにクロスサイトスクリプティング（XSS）脆弱性を含むiframeを読み込み、a-cdn.claude.aiのサブドメイン内で悪意のあるペイロードを実行することができます。このサブドメインは拡張機能の信頼されたホワイトリスト内にあるため、攻撃者は直接Claude拡張に悪意のある提示語を送信し、自動的に実行させることができ、ユーザーの承認やクリック操作は必要ありません。被害者は気づくことなく、攻撃者はClaude拡張を操作してユーザーのGoogle Drive文書を読み取ったり、ビジネスアクセストークンを盗んだり、チャット履歴をエクスポートしたりすることができ、これにより現在のブラウザセッションを乗っ取り、被害者の身分でメールを送信するなどの敏感な操作を実行することができます。GoPlusはユーザーに対し、Claude拡張を1.41以上のバージョンに即座に更新することを推奨し、フィッシングリンクに注意するよう警告しています。