Luka w Claude for Chrome pozwala złośliwym rozszerzeniom inicjować odczyt Gmaila i Dokumentów Google - Security Bez Tabu

Luka w Claude for Chrome pozwala złośliwym rozszerzeniom inicjować odczyt Gmaila i Dokumentów Google

Cybersecurity news

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali podatność w rozszerzeniu Claude for Chrome, która może umożliwić innym rozszerzeniom przeglądarki uruchamianie predefiniowanych działań agenta AI w kontekście usług Google użytkownika. Problem dotyczy granicy zaufania między interfejsem przeglądarki, skryptami działającymi na stronie claude.ai oraz mechanizmami automatyzacji udostępnianymi przez rozszerzenie.

W praktyce oznacza to ryzyko nadużycia zaufanego dodatku AI przez inny komponent działający lokalnie w tej samej przeglądarce. To szczególnie istotne tam, gdzie użytkownik pozostaje zalogowany do Gmaila, Kalendarza Google i Dokumentów Google.

W skrócie

Opisana luka pozwala obcemu rozszerzeniu, które może uruchamiać skrypty w kontekście claude.ai, wygenerować sztuczne kliknięcie uruchamiające zadania Claude związane z Gmailem, Kalendarzem Google oraz najnowszym Dokumentem Google. W domyślnym trybie użytkownik nadal powinien zatwierdzić operację, jednak po włączeniu działania bez pytania możliwe staje się ciche wykonanie akcji.

  • atak bazuje na syntetycznych zdarzeniach kliknięcia,
  • wykorzystuje już istniejące i autoryzowane funkcje rozszerzenia,
  • nie wymaga przejęcia konta Google,
  • może prowadzić do odczytu wrażliwych danych z usług Google.

Kontekst / historia

Incydent wpisuje się w rosnącą klasę zagrożeń związanych z agentami AI działającymi bezpośrednio w przeglądarce i korzystającymi z aktywnych sesji użytkownika. Tego typu architektura zapewnia wygodę, ale jednocześnie nadaje rozszerzeniu realne uprawnienia operacyjne do odczytu treści stron, inicjowania zadań i wykonywania działań w aplikacjach webowych.

Według dostępnych ustaleń wcześniejsze mechanizmy ochronne miały ograniczyć możliwość przekazywania dowolnych promptów z zewnętrznego kontekstu do rozszerzenia. Zamiast pełnej dowolności zastosowano listę dozwolonych identyfikatorów zadań. Nie usunęło to jednak podstawowego problemu, ponieważ nadal możliwe miało być samo nieautoryzowane wyzwalanie akcji.

Analiza techniczna

Rdzeń podatności polega na tym, że skrypt treści rozszerzenia nasłuchuje kliknięć określonego elementu DOM na stronie claude.ai i na tej podstawie pobiera identyfikator zadania do wykonania. Jeżeli identyfikator znajduje się na liście dozwolonych operacji, rozszerzenie otwiera panel z odpowiadającym mu workflow.

Problem wynika z braku skutecznego odróżnienia rzeczywistej interakcji użytkownika od kliknięcia wygenerowanego programowo przez skrypt. W rezultacie inne rozszerzenie, które może modyfikować DOM lub uruchamiać JavaScript na stronie, może doprowadzić do uruchomienia akcji wyglądającej jak legalne działanie użytkownika.

  • utworzenie odpowiedniego elementu HTML,
  • ustawienie atrybutu z identyfikatorem zadania,
  • wywołanie syntetycznego zdarzenia kliknięcia,
  • uruchomienie workflow dostępnego w Claude for Chrome.

Z opisu wynika, że zagrożone zadania obejmowały między innymi operacje związane z odczytem Gmaila, najnowszego dokumentu Google wraz z komentarzami oraz danych z Kalendarza Google. Nie chodzi więc o pełne dowolne wykonanie kodu, ale o nadużycie istniejących funkcji agenta o wysokim poziomie dostępu do danych.

Dodatkowo wskazywano na obsługę parametru URL odpowiadającego za pominięcie części sprawdzeń uprawnień przy inicjalizacji panelu bocznego. Taki mechanizm tworzy niebezpieczny stan projektowy, bo inna luka mogłaby potencjalnie przekształcić atak wymagający zgody użytkownika w scenariusz całkowicie cichy.

Z perspektywy modelowania zagrożeń przypadek ten wpisuje się w znane kategorie bezpieczeństwa AI, takie jak pośredni prompt injection oraz excessive agency, czyli nadmierna autonomia agenta i zbyt szeroki zakres dostępnych operacji.

Konsekwencje / ryzyko

Najważniejszą konsekwencją jest możliwość wykorzystania zaufanego rozszerzenia AI przez inne, potencjalnie złośliwe rozszerzenie obecne w tej samej przeglądarce. Atak nie musi przypominać klasycznego włamania, ponieważ odbywa się wewnątrz lokalnego środowiska użytkownika i korzysta z jego aktywnych sesji.

Ryzyko zależy od konfiguracji. Gdy wymagane jest zatwierdzenie operacji, rośnie powierzchnia socjotechniczna i szansa na skłonienie użytkownika do akceptacji pozornie legalnego działania. Jeśli jednak włączono tryb działania bez pytania, skutki mogą być znacznie poważniejsze, bo agent może realizować zadania bez dodatkowej interakcji.

  • odczyt danych z poczty elektronicznej,
  • dostęp do treści dokumentów i komentarzy,
  • wgląd w wydarzenia kalendarzowe,
  • trudniejsze wykrycie incydentu w standardowych systemach monitorowania,
  • zwiększenie ryzyka eksfiltracji danych biznesowych.

Dla organizacji problem jest szczególnie istotny, ponieważ skrzynki pocztowe i dokumenty często zawierają dane klientów, informacje handlowe, tajemnice przedsiębiorstwa oraz szczegóły projektów. W środowiskach, gdzie używa się wielu dodatków przeglądarkowych, jedno słabo kontrolowane rozszerzenie może stać się punktem wejścia do nadużycia innego, bardziej uprzywilejowanego narzędzia.

Rekomendacje

Najważniejszym działaniem ograniczającym ryzyko jest wyłączenie trybu automatycznego wykonywania akcji bez potwierdzenia, jeśli rozszerzenie oferuje taką funkcję. Nie usuwa to samej podatności, ale przywraca dodatkową warstwę kontroli użytkownika.

  • przeprowadzić audyt wszystkich rozszerzeń z uprawnieniami do odczytu i modyfikacji danych,
  • usunąć dodatki o niejasnym pochodzeniu lub nadmiernych uprawnieniach,
  • stosować firmowe polityki zarządzania rozszerzeniami, w tym allowlisty,
  • rozdzielić profile przeglądarki dla pracy wysokiego ryzyka i codziennego użytku,
  • ograniczyć użycie agentów AI z dostępem do poczty i dokumentów do uzasadnionych przypadków,
  • monitorować nietypowe operacje wykonywane w usługach SaaS,
  • wymagać od dostawców mechanizmów trusted user gesture i bezpiecznego modelu zgód.

Z perspektywy producentów oprogramowania kluczowe pozostają także poprawki architektoniczne. Należą do nich walidacja, czy zdarzenie pochodzi od realnej interakcji użytkownika, usunięcie możliwości ustawiania stanu uprawnień przez parametry URL, kontrola integralności komunikacji między komponentami oraz dalsza minimalizacja zakresu dozwolonych akcji.

Podsumowanie

Opisana luka pokazuje, że bezpieczeństwo agentów AI w przeglądarce zależy nie tylko od samego modelu, ale przede wszystkim od architektury integracji, granic zaufania i sposobu obsługi uprawnień. Nawet częściowe ograniczenie swobody wykonywania poleceń nie wystarczy, jeśli mechanizm wyzwalania akcji nadal może zostać nadużyty.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że rozszerzenia AI należy traktować jak uprzywilejowane komponenty końcowe. W praktyce oznacza to konieczność ścisłego zarządzania rozszerzeniami, ograniczania autonomii agentów oraz regularnej oceny, czy funkcje wygody nie tworzą nowej ścieżki do wycieku danych.

Źródła