Дослідники з кібербезпеки виявили уразливість у розширенні Claude для Google Chrome від компанії Anthropic. Недолік дозволяв зловмисникам непомітно вводити шкідливі команди до AI-асистента — достатньо було, щоб користувач просто відвідав заражену веб-сторінку.
Що таке ShadowPrompt і як він працював
Уразливість отримала назву ShadowPrompt. За словами дослідника компанії Koi Security Орена Йомтова, вона «дозволяла будь-якому сайту непомітно вводити команди до асистента так, ніби їх написав сам користувач». Жодних кліків, жодних дозволів — лише перехід на сторінку, і зловмисник отримував повний контроль над браузером жертви.
ShadowPrompt поєднував дві окремі технічні вади:
- Надмірно широкий список дозволених джерел у розширенні. Будь-який піддомен, що відповідав шаблону *.claude.ai, міг надсилати команди до Claude для виконання.
- XSS-уразливість (міжсайтовий скриптинг на основі DOM) у компоненті CAPTCHA від Arkose Labs, розміщеному на домені a-cdn.claude.ai. Вона уможливлювала запуск довільного JavaScript-коду в контексті цього піддомену.
Схема атаки виглядала так: сторінка зловмисника вбудовувала вразливий компонент Arkose у прихований iframe, надсилала шкідливий XSS-payload через механізм postMessage, а впроваджений скрипт запускав команду до розширення Claude. Розширення своєю чергою виконувало її, бо запит надходив із дозволеного домену. Жертва при цьому нічого не помічала.
Які наслідки могла мати атака
Успішна експлуатація уразливості могла дозволити зловмиснику:
- викрасти конфіденційні дані, зокрема токени доступу;
- отримати доступ до історії розмов з AI-асистентом;
- виконувати дії від імені жертви — наприклад, надсилати електронні листи або запитувати конфіденційну інформацію.
Як відреагували Anthropic та Arkose Labs
Дослідники відповідально повідомили про проблему 27 грудня 2025 року. Anthropic випустила виправлення у версії розширення 1.0.41: тепер перевірка джерела є суворою і вимагає точного збігу з доменом claude.ai. Arkose Labs виправила власну XSS-уразливість 19 лютого 2026 року.
Чому це важливо для всіх користувачів AI-розширень
Koi Security наголошує: що потужнішим стає AI-асистент у браузері, то привабливішою ціллю для атак він є. «Розширення, яке може керувати браузером, зчитувати облікові дані та надсилати листи від вашого імені, — це автономний агент. А безпека такого агента визначається найслабшою ланкою в ланцюжку довіри», — йдеться у звіті компанії.
Що варто зробити
- Власникам розширення Claude для Chrome рекомендується переконатися, що встановлено версію 1.0.41 або новішу — саме у ній усунуто описану уразливість.
- Загалом фахівці радять регулярно оновлювати браузерні розширення та видаляти ті, якими не користуються: кожне встановлене розширення розширює поверхню можливої атаки.
