Descoberta Chocante: Extensão do Claude Pode Roubar Arquivos e Enviar E-mails sem Permissão

A segurança online está em risco com a descoberta de uma vulnerabilidade na extensão do Claude para o Chrome. Pesquisadores da LayerX encontraram uma falha que permite que qualquer extensão do navegador assuma o controle do assistente de IA da Anthropic, executando ações sem a permissão do usuário.

Como a Falha Funciona

A extensão do Claude utiliza uma configuração técnica chamada "externally_connectable", que define quais origens externas podem se comunicar com a extensão. No entanto, a verificação de identidade é insuficiente, permitindo que qualquer extensão do Chrome injete um script no contexto do claude.ai e envie comandos para a extensão do Claude sem necessidade de permissões especiais.

O Que um Atacante Pode Fazer

Com essa vulnerabilidade, um atacante pode fazer o Claude abrir arquivos no Google Drive, compartilhar documentos, enviar e-mails em nome do usuário, roubar código de repositórios privados no GitHub, e até mesmo ler os últimos e-mails do Gmail e enviar resumos para endereços externos.

A Correção Incompleta da Anthropic

Embora a Anthropic tenha lançado um patch para corrigir a falha, os pesquisadores da LayerX descobriram que a correção não resolve o problema de fundo. A extensão ainda confia na origem da mensagem, e não em quem a enviou, permitindo que extensões maliciosas continuem a se comunicar com as interfaces privilegiadas do Claude no Chrome.

Conclusão

A vulnerabilidade ClaudeBleed é um lembrete de que a segurança online é um desafio constante. A Anthropic deve revisar a arquitetura da extensão do Claude para garantir que as permissões sejam verificadas corretamente e que os usuários estejam protegidos contra ataques maliciosos. No Porto Tech, estamos comprometidos em trazer as últimas notícias e análises sobre segurança e tecnologia para você.