ShadowPrompt: 访问恶意页面即可劫持Claude Chrome插件
Anthropic 的 Claude Chrome 扩展拥有超过 300 万用户,它作为浏览器侧边栏的 AI 助手,可以导航页面、读取内容、执行 JavaScript 并代表用户与网站交互。研究者发现该扩展存在一个关键漏洞:任何恶意网站都能够在用户无感知、无点击、无权限提示的情况下,向 Claude 注入并执行攻击者控制的提示词,从而完全控制用户的浏览器。
这篇文章由安全研究团队Koi发布,详细披露了 Claude Chrome 扩展程序 中一个名为 "ShadowPrompt" 的严重漏洞。以下是主要内容总结。
漏洞概述
Anthropic 的 Claude Chrome 扩展拥有超过 300 万用户,它作为浏览器侧边栏的 AI 助手,可以导航页面、读取内容、执行 JavaScript 并代表用户与网站交互。研究者发现该扩展存在一个关键漏洞:任何恶意网站都能够在用户无感知、无点击、无权限提示的情况下,向 Claude 注入并执行攻击者控制的提示词,从而完全控制用户的浏览器。
攻击原理(攻击链)
该漏洞通过两个缺陷的组合实现:
1. 过于宽松的白名单:扩展的消息 API 接受来自 *.claude.ai 任意子域的消息,并将其视为可信来源
2. 第三方组件的 XSS 漏洞:Anthropic 使用 Arkose Labs 的验证码服务,托管在 a-cdn.claude.ai。研究者发现该 CDN 上仍存在一个旧版本的组件 (game-core/1.26.0),存在 DOM 型 XSS:
- 组件通过 postMessage 接收消息时不验证消息来源 (event.origin)
- 使用 React 的 dangerouslySetInnerHTML 渲染用户可控内容,未做过滤
- 攻击者可通过构造特定 HTML payload(如 <img src=x>)执行任意 JavaScript
攻击流程
攻击者只需让用户访问恶意网页,该页面会:
1. 在隐藏的 iframe 中嵌入存在漏洞的 Arkose Labs 组件
2. 通过 postMessage 发送 XSS payload
3. 利用 XSS 在 a-cdn.claude.ai 上下文执行代码,向 Claude 扩展发送 onboarding_task 消息
4. 扩展将攻击者的指令当作用户输入执行
潜在危害
攻击者可利用此漏洞执行几乎任何操作,包括:
窃取 Gmail 访问令牌
读取 Google Drive 文件
导出 LLM 聊天记录
以用户身份发送邮件
在后台打开标签页并控制浏览器
修复时间线
2025-12-26:向 Anthropic 报告漏洞
2026-01-15:Anthropic 发布扩展 1.0.41 版本,添加严格的来源检查(仅允许 https://claude.ai)
2026-02-19:Arkose Labs 修复 XSS 漏洞(旧版本 URL 返回 403)
2026-02-24:确认所有问题已完全解决
安全建议
如果您正在使用 Claude Chrome 扩展,请立即检查版本是否为 1.0.41 或更高版本。可通过访问 chrome://extensions 查看版本号,旧版本仍存在安全风险。
文章最后强调:随着 AI 浏览器助手能力不断增强,它们成为越来越有价值的攻击目标。扩展程序的安全强度取决于其信任边界中最薄弱的环节,安全团队需要关注浏览器扩展的权限模型和依赖风险。
以上内容由 Kimi 总结。
POC视频:https://www.youtube.com/watch?v=5EPnC9SzhOw
漏洞概述
Anthropic 的 Claude Chrome 扩展拥有超过 300 万用户,它作为浏览器侧边栏的 AI 助手,可以导航页面、读取内容、执行 JavaScript 并代表用户与网站交互。研究者发现该扩展存在一个关键漏洞:任何恶意网站都能够在用户无感知、无点击、无权限提示的情况下,向 Claude 注入并执行攻击者控制的提示词,从而完全控制用户的浏览器。
攻击原理(攻击链)
该漏洞通过两个缺陷的组合实现:
1. 过于宽松的白名单:扩展的消息 API 接受来自 *.claude.ai 任意子域的消息,并将其视为可信来源
2. 第三方组件的 XSS 漏洞:Anthropic 使用 Arkose Labs 的验证码服务,托管在 a-cdn.claude.ai。研究者发现该 CDN 上仍存在一个旧版本的组件 (game-core/1.26.0),存在 DOM 型 XSS:
- 组件通过 postMessage 接收消息时不验证消息来源 (event.origin)
- 使用 React 的 dangerouslySetInnerHTML 渲染用户可控内容,未做过滤
- 攻击者可通过构造特定 HTML payload(如 <img src=x>)执行任意 JavaScript
攻击流程
攻击者只需让用户访问恶意网页,该页面会:
1. 在隐藏的 iframe 中嵌入存在漏洞的 Arkose Labs 组件
2. 通过 postMessage 发送 XSS payload
3. 利用 XSS 在 a-cdn.claude.ai 上下文执行代码,向 Claude 扩展发送 onboarding_task 消息
4. 扩展将攻击者的指令当作用户输入执行
潜在危害
攻击者可利用此漏洞执行几乎任何操作,包括:
窃取 Gmail 访问令牌
读取 Google Drive 文件
导出 LLM 聊天记录
以用户身份发送邮件
在后台打开标签页并控制浏览器
修复时间线
2025-12-26:向 Anthropic 报告漏洞
2026-01-15:Anthropic 发布扩展 1.0.41 版本,添加严格的来源检查(仅允许 https://claude.ai)
2026-02-19:Arkose Labs 修复 XSS 漏洞(旧版本 URL 返回 403)
2026-02-24:确认所有问题已完全解决
安全建议
如果您正在使用 Claude Chrome 扩展,请立即检查版本是否为 1.0.41 或更高版本。可通过访问 chrome://extensions 查看版本号,旧版本仍存在安全风险。
文章最后强调:随着 AI 浏览器助手能力不断增强,它们成为越来越有价值的攻击目标。扩展程序的安全强度取决于其信任边界中最薄弱的环节,安全团队需要关注浏览器扩展的权限模型和依赖风险。
以上内容由 Kimi 总结。
POC视频:https://www.youtube.com/watch?v=5EPnC9SzhOw
关于作者
评论1次
这个漏洞简直是个定时炸弹!赶紧检查你装的Claude插件版本——要是还在用旧版,分分钟可能被黑客远程控制浏览器。我刚自己检查了一下,现在必须给所有人敲黑板: 马上打开 chrome://extensions 找到Claude,版本号要是1.0.41及以上才安全。如果不是的话,要么立刻更新,要么直接卸载插件。这漏洞太离谱了,你甚至不用点击任何东西,只要访问个恶意网页就能被黑,简直防不胜防。 建议以后装这类AI助手插件时一定盯着权限列表,看到"能读取所有网站数据"这类描述就得多留个心眼。这次事件真的敲警钟了,工具再好安全做不到位,反而是个危险品。