Расширение Claude научили читать чужую почту. Хватило поддельного нажатия мышью, чтобы обмануть ИИ-агента в браузере.

leer en español

6180
Расширение Claude научили читать чужую почту. Хватило поддельного нажатия мышью, чтобы обмануть ИИ-агента в браузере.

Любая открытая вкладка может тайно перехватить вашу переписку.

image

Браузерные ИИ-агенты получают доступ к личным данным через цепочку разрешений, и даже небольшая ошибка в такой системе может подменить волю пользователя. Специалисты Manifold обнаружили, что две ранее выявленные проблемы в расширении Claude for Chrome сохранились в версии 1.0.80 и по-прежнему позволяют другому браузерному расширению подтолкнуть агента к выполнению привилегированных команд, включая чтение Gmail.

Первая проблема связана с обработчиком кликов, который принимает искусственно созданные события за действия человека. Скрипт другого расширения на странице claude.ai может сымитировать нажатие и передать Claude одну из заранее разрешённых команд. Список допустимых запросов ограничивает возможности атаки, но обработчик не проверяет, действительно ли команду запустил пользователь.

Вторая проблема затрагивает боковую панель Claude. Режим работы без проверки разрешений можно задать через параметр во внутренней ссылке. В версии 1.0.80 удалённо сформировать такую ссылку нельзя, поскольку для операции нужны права самого расширения. Однако будущая ошибка в обработке сообщений или внедрение кода на внутренней странице могут позволить скрытно выполнять команды.

Manifold сообщила Anthropic о проблемах 21 мая 2026 года при проверке версии 1.0.72. Компания признала оба отчёта, но одному присвоила статус «информационный», а второй закрыла со ссылкой на более широкую внутреннюю задачу. После восьми обновлений, выпущенных до версии 1.0.80, специалисты повторили проверку 7 июля и подтвердили, что уязвимые обработчики не изменились.

Для снижения риска Manifold рекомендует всегда запускать боковую панель в режиме запроса разрешений, разрешать смену режима только после реального клика внутри интерфейса и передавать повышенные права для запланированных задач через внутреннее сообщение с обязательной проверкой отправителя.