GoPlus обнаружил критическую уязвимость в Claude Chrome, через которую Gmail и Drive могут быть незаметно украдены.

Платформа мониторинга безопасности GoPlus 27 марта выпустила предупреждение о высокой критичности, указав, что расширение для браузера Anthropic Claude Chrome содержит уязвимость Prompt Injection высокой критичности. Уязвимость затрагивает установки версий ниже 1.0.41 и затрагивает более 3 миллионов пользователей. Злоумышленники могут читать файлы в Google Drive, похищать бизнес-токены и отправлять электронные письма, выдавая себя за пользователей.

Механизм уязвимости: две слабости в сочетании образуют полноценную цепочку атаки

На этот раз уязвимость возникла в результате сочетания двух независимых недостатков безопасности, что сформировало путь высококритичной атаки.

Первая слабость: слишком широкое доверие поддоменам в механизме передачи сообщений расширения Claude Chrome Расширение Claude Chrome допускает команды, поступающие из всех поддоменов *.claude.ai. Среди типов сообщений есть onboarding_task, которое может напрямую принимать внешние подсказки (Prompt) и передавать их в Claude для выполнения; более детальная проверка источника не настроена.

Вторая слабость: DOM-based XSS-уязвимость компонента валидации Arkose Labs Антропик использует стороннего поставщика проверок Arkose Labs. Его CAPTCHA-компонент размещён на a-cdn.claude.ai — поддомене в доверенной зоне *.claude.ai. Исследователи безопасности обнаружили в устаревшей версии компонента CAPTCHA DOM-based XSS-уязвимость: когда компонент получает внешние сообщения, он никогда не проверяет удостоверение отправителя (не проверяет event.origin), а управляемую пользователем строку напрямую рендерит как HTML без любой очистки.

Полная цепочка атаки: жертва посещает вредоносный веб-сайт → в скрытом фоновом режиме выполняется тихая загрузка Arkose iframe с XSS-уязвимостью → злоумышленная полезная нагрузка выполняется в домене a-cdn.claude.ai → используя белый список доверенных поддоменов, злоумышленник отправляет вредоносный Prompt в расширение Claude и выполняет его автоматически. Весь процесс происходит в невидимом скрытом iframe, и жертва не может заметить происходящее.

Что могут сделать злоумышленники: полное бесшовное захватывание аккаунта

После успешной атаки злоумышленники могут выполнить для аккаунта жертвы следующие действия, и при этом на протяжении всего процесса не требуется никакого пользовательского разрешения или клика:

· украсть токены доступа Gmail (позволяет сохранять персистентный доступ к Gmail, контактам)

· прочитать все файлы в Google Drive

· экспортировать полную историю чатов Claude

· отправлять электронные письма от имени жертвы

· в фоновом режиме создать новую вкладку, открыть боковую панель Claude и выполнить произвольные команды

Статус исправления и рекомендации по безопасности

Эта уязвимость уже полностью устранена: Anthropic исправила расширение Claude Chrome 15 января 2026 года. В новой версии разрешены только запросы из ; Arkose Labs исправила XSS-уязвимость 19 февраля 2026 года, а полное повторное тестирование подтвердило решение 24 февраля 2026 года. Предупреждение GoPlus предназначено для того, чтобы напомнить пользователям, все еще использующим старые версии, как можно скорее обновиться.

GoPlus предлагает следующие рекомендации по безопасности: перейдите в chrome://extensions в браузере Chrome, найдите процесс расширения Claude, проверьте, что номер версии равен 1.0.41 или выше; остерегайтесь фишинговых ссылок из неизвестных источников; приложения AI Agent должны следовать принципу «минимальных привилегий»; при действиях с высокой чувствительностью следует внедрять механизм дополнительного ручного подтверждения (Human-in-the-loop).

Часто задаваемые вопросы

Как проверить, безопасна ли версия моего расширения Claude Chrome?

Перейдите в chrome://extensions в браузере Chrome, найдите расширение Claude и посмотрите номер версии. Если версия 1.0.41 или выше, уязвимость исправлена; если ниже 1.0.41, немедленно обновите или переустановите последнюю версию.

Нужно ли пользователю активно нажимать на вредоносную ссылку, чтобы уязвимость сработала?

Не нужно. Достаточно, чтобы пользователь посетил вредоносный веб-сайт — атака может выполняться в фоновом режиме без каких-либо кликов, разрешений или подтверждений. Вся цепочка атаки выполняется в скрытом iframe, и жертва полностью не может это заметить.

Если Anthropic уже исправила уязвимость, почему все равно нужно обновляться?

Некоторые пользователи могли не включить автоматическое обновление расширений браузера, из-за чего они все еще используют устаревшую версию ниже 1.0.41. Предупреждение GoPlus предназначено, чтобы напомнить этим пользователям самостоятельно подтвердить версию и вручную выполнить обновление, чтобы обеспечить безопасность.